首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] 许多方法[求助]ASPack 2.12脱壳碰到的问题,用了很多方法都不灵! 0.00雪花
发表于: 2008-11-5 15:42 3731

[旧帖] 许多方法[求助]ASPack 2.12脱壳碰到的问题,用了很多方法都不灵! 0.00雪花

helson 活跃值
2008-11-5 15:42
3731
为了方便各位老师查看我的问题,我已经讲图片和文字作成word文档了,各位老师可以直接下载看看,下载地址:
http://www.live-share.com/files/363976/aspack_problem.doc.html)我学习破解的时间不长,最近看了天草老师的破解视频,也学着做了一些测试,按照视频的讲解,基本上都通过了。最先接触 的是ASPack 2.12 的壳,源程序是记事本,用定律和两部memory方法都可以,这之后我在网上找了一个外挂,是ASPack 2.12 -> Alexey Solodovnikov的壳,用两步memory方法可以脱壳,但是脱壳的时候碰到这个问题:

程序用OD 调入后的初始画面如下:

注意:其实的地址是527001,在破解的录像教程中没有这样的例子

随后用用两步memory方法脱壳:
1、        点击M,在"。rsrc"处F2下段,然后F9

2、        再点击M,在"。text"处F2下段,然后F9

3、        单步到此处(地址493710)

我用OD自带的两种方式脱壳,然后用Lord PE脱壳,一共得到三个脱壳文件(OD的分别叫1.exe和2.exe,Lord PE的叫dump.exe),OD自带的两种方式脱壳后的程序用Peid0.95(用的是深度扫描方式才可以查出是Borland C++1999的,我这里脱的是不是有问题,请指教),但是用Lord PE托的用三种扫描方式都不能查出来是什么壳,这是为什么呢?请指教

用Fi查是borland delphi *pe的

4、        脱壳后的程序不能执行,我用Import REC修复,但是这里就有问题了,OEP这里我填写93710,却得到以下提示
  ,到这里我该怎么进行下去呢,不填入OEP地址就没办法修正的,请高手指点

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (4)
peeler
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
简直是天书,最好把程序给出来,我有时间给你做个演示教程。
2008-11-5 20:44
0
sando
雪    币: 211
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
import rec - option里面 Active Process Information打上钩了吗?
2008-11-6 17:30
0
黄哈哈
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
1.OD打开—点选项—调试选项—去掉所有异常—CTRL+F2重载.
2.SHIFT+F9.只到程序运行,记下次数M
3.CTRL+F2重载—按SHIFT+F9(次数为M-1次)
4.按CTRL+G—输入OE右下角的SE句柄前的地址.
5.F2下断—SHIFT+F9到断点处.
6.去断按F8,到OEP.
这个方法脱壳
2008-11-6 19:33
0
wqhlgr
雪    币: 214
活跃值: (12)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
5
看不出你的字
2008-12-20 11:47
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//