新手脱壳一个游戏辅助工具 出现点小问题
工具
1.某游戏辅助工具(下载地址:http://ys-g.ys168.com/?菲服&新服破天辅助工具.zip_4sht0b8e1dksht0bsl1biikt0c4btnrp4b5biiktll5bu22f05f12z)或请到http://liyang00.ys168.com/ 自己去下载 麻烦了
2.Ollydbg
3.peid
4.Import REConstructo
5.Aspr2.XX_unpacker_v1.0SC.osc
希望大家帮忙研究,因为本人新手 谢谢了
用peid查壳为提示为:ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov
然后再用VERA:Version: [ Unknown! ], Signature: [ 0BCBD2DA ], E-Mail: [ PE_Kill@mail.ru ]
我直接蒙了用了VERA 查不出来 (估计有很多办法,因为新手所以没办法,理解下)
然后不管了看了下论坛教程按着上面的过程进行了脚本脱壳,提示有偷窃代码。
记录数据
地址 消息
OllyDbg v1.10
点阵字体 'MS Sans Serif' 已被替换为 '宋体'
Nonameo's ApiBreak
Copyright (C) 2005 Nonameo
Asm2Clipboard PlugIn v0.1
由 FaTmiKE 编写于 2oo4
我使用了 Regon 的 ExtraCopy 插件 v1.0 的代码片断
...非常感谢 Regon 所做的工作!
书签示范插件 v1.06 (插件演示)
Copyright (C) 2001, 2002 Oleh Yuschuk
CleanupEx v1.12.108 by Gigapede
CommandBar v3.10.109c
Original Written by Oleh Yuschuk Modified by Gigapede Contributors:TBD Wayne psyCK0 mfn
命令行 v1.10
Written by Oleh Yuschuk
超级拷贝插件 v0.90 by Regon
GODUP 版本 1.2 by godfather+ - Delphi 版本
Hide Caption v1.00 by Gigapede
隐藏调试器 v1.2.3f
Copyright (c) 2005 by Asterix
IsDebugPresent plugin v1.4 (SV 2oo3)
Labeler v1.33.108 by Gigapede
Labelmaster 插件 v0.1
版权所有 (C) 2004 JoeStewart
LoadMap version 0.1 by lgx/iPB loaded
MapConv V1.4 - 作者 godfather+、TBD 和 SHaG
MemoryManage beta
Copyright (C) 2004 pLayAr
有任何建议请发邮件至 playar0709@21cn.net
ODbgScript v1.48
by Epsylon3@gmail.com from OllyScript 0.92 by SHaG
OllyDump v3.00.110 by Gigapede
OllyFlow 插件 v0.71
版权所有 (C) 2005 henryouly@pediy
OllyHelper v1.3 by cygwin@smth
OllyMachine v0.20
由罗聪编写
编译于2004年12月7日 14:32:15
OllyScript v0.92
由 SHaG 编写
OllyDbg PE Dumper v3.03 by FKMA
置顶显示插件 v1.0; 编译于 2002年4月21日 22:23:20 CET
Copyright (C) 2002 Matthijs Laan <matthijsln@xs4all.nl>
prince's TracKit 插件 V1.10 (beta)
Copyright (C) 2004-2005 prince
Handle UnhandledExceptionFilter
超级字串参考+ v0.11
罗聪创作/n曹聪汉化
编译于 Sep 20 2005 15:33:30
WatchMan v1.00 by Gigapede
窗口工具 OD插件 v0.06 BETA
Coded by EsseEmme
IsDebugPresent plugin v1.4 (SV 2oo3)
已解析出 6384 个序号
已解析出 6442 个序号
文件 'C:\Documents and Settings\Administrator\桌面\菲服&新服破天辅助工具\菲服&新服破天辅助工具\菲服&新服破天辅助工具.exe'
ID 00000EA8 的新进程已创建
00401000 ID 00000EAC 的主线程已创建
00400000 模块 C:\Documents and Settings\Administrator\桌面\菲服&新服破天辅助工具\菲服&新服破天辅助工具\菲服&新服破天辅助工具.exe
CRC 已更改, 正在放弃 .udd 数据
73390000 模块 C:\WINDOWS\system32\msvbvm60.dll
76990000 模块 C:\WINDOWS\system32\ole32.dll
770F0000 模块 C:\WINDOWS\system32\OLEAUT32.dll
77BE0000 模块 C:\WINDOWS\system32\msvcrt.dll
77D10000 模块 C:\WINDOWS\system32\USER32.dll
77DA0000 模块 C:\WINDOWS\system32\ADVAPI32.dll
77E50000 模块 C:\WINDOWS\system32\RPCRT4.dll
77EF0000 模块 C:\WINDOWS\system32\GDI32.dll
77FC0000 模块 C:\WINDOWS\system32\Secur32.dll
7C800000 模块 C:\WINDOWS\system32\kernel32.dll
7C920000 模块 C:\WINDOWS\system32\ntdll.dll
隐藏调试器
76300000 模块 C:\WINDOWS\system32\IMM32.DLL
62C20000 模块 C:\WINDOWS\system32\LPK.DLL
00401000 程序入口点
IsDebugPresent hidden
73FA0000 模块 C:\WINDOWS\system32\USP10.dll
77BD0000 模块 C:\WINDOWS\system32\version.dll
71A40000 模块 C:\WINDOWS\system32\wsock32.dll
71A20000 模块 C:\WINDOWS\system32\WS2_32.dll
7C80176F 断点位于 kernel32.GetSystemTime
00E8F9AF 断点位于 00E8F9AF
00E8F8B0 断点位于 00E8F8B0
00E854EA 断点位于 00E854EA
00E5011A 断点位于 00E5011A
AsprAPIloc: 00E9269C
00E8F682 断点位于 00E8F682
00E8E51A 硬件断点 1 位于 00E8E51A
00E8F798 断点位于 00E8F798
00E8F7CA 断点位于 00E8F7CA
00E8F835 断点位于 00E8F835
00E50156 断点位于 00E50156
00E50034 断点位于 00E50034
00E509D8 断点位于 00E509D8
00E5ED60 断点位于 00E5ED60
00E5008D 断点位于 00E5008D
00E50024 断点位于 00E50024
这版的 Asprotect 其 SDk API 总数 = 0000000D
00E861A3 断点位于 00E861A3
00E8EDF0 硬件断点 1 位于 00E8EDF0
01E903FF 断点位于 01E903FF
00E507D9 断点位于 00E507D9
00E5003E 断点位于 00E5003E
00E500F2 断点位于 00E500F2
00E50030 断点位于 00E50030
IAT 的地址 = 00401000
IAT 的相对地址 = 00001000
IAT 的大小 = 0000024C
00E50079 断点位于 00E50079
OEP 的地址 = 00401D5C
OEP 的相对地址 = 00001D5C
然后又用工具Import REConstructo修复,但是修复后双击脱壳后的图表未有任何反应
用PEID继续查壳提示为:Nothing found*
VERV:Error, may be it's not ASProtect!
希望给予答复 为什么会出现这样的情况 谢谢
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
