刚入门,很多都不太清楚;费了九牛二虎之力脱掉了一个ASProtect V2.3的壳,可程序运行不了,想请各位帮我看看是哪里弄错了,帮小弟分析一下.
OD载入, 马上提示:"模块'jvsdk'入口点超出代码范围,可能是个自修改或自解压文件."
"确定" 继续 F9两次提示:代码加密,压缩,大量嵌入数据,分析可能不可靠,是否要继续.
点"取消" 加载脚本"Aspr2.XX_IATfixer_v2.2s.osc" 提示"有偷切代码,请看IAT数据"
用ImportREC附载JDVR进程,把OEP 的相对地址,IAT 的相对地址,IAT 的大小;填好, 获取输入表
抓取修复; 最后用LordPE, dump文件.
附:
记录数据
地址 消息
OllyDbg v1.10
点阵字体 'MS Sans Serif' 已被替换为 '宋体'
Nonameo's ApiBreak
Copyright (C) 2005 Nonameo
Asm2Clipboard PlugIn v0.1
由 FaTmiKE 编写于 2oo4
我使用了 Regon 的 ExtraCopy 插件 v1.0 的代码片断
...非常感谢 Regon 所做的工作!
书签示范插件 v1.06 (插件演示)
Copyright (C) 2001, 2002 Oleh Yuschuk
CleanupEx v1.12.108 by Gigapede
CommandBar v3.10.109c
Original Written by Oleh Yuschuk Modified by Gigapede Contributors:TBD Wayne psyCK0 mfn
命令行 v1.10
Written by Oleh Yuschuk
超级拷贝插件 v0.90 by Regon
GODUP 版本 1.2 by godfather+ - Delphi 版本
Hide Caption v1.00 by Gigapede
隐藏调试器 v1.2
Copyright (c) 2004 by Asterix
IsDebugPresent plugin v1.4 (SV 2oo3)
Labeler v1.33.108 by Gigapede
Labelmaster 插件 v0.1
版权所有 (C) 2004 JoeStewart
LoadMap version 0.1 by lgx/iPB loaded
MapConv V1.4 - 作者 godfather+、TBD 和 SHaG
MemoryManage beta
Copyright (C) 2004 pLayAr
有任何建议请发邮件至 playar0709@21cn.net
ODbgScript v1.65.2 chinese version by hnhuqiong
http://bbs.pediy.com or http://www.unpack.cn
OllyDump v3.00.110 by Gigapede
OllyFlow 插件 v0.71
版权所有 (C) 2005 henryouly@pediy
OllyHelper v1.3 by cygwin@smth
OllyMachine v0.20
由罗聪编写
编译于2004年12月7日 14:32:15
OllyScript v0.92
由 SHaG 编写
OllyDbg PE Dumper v3.03 by FKMA
置顶显示插件 v1.0; 编译于 2002年4月21日 22:23:20 CET
Copyright (C) 2002 Matthijs Laan <matthijsln@xs4all.nl>
prince's TracKit 插件 V1.10 (beta)
Copyright (C) 2004-2005 prince
Handle UnhandledExceptionFilter
超级字串参考+ v0.11
罗聪创作/n曹聪汉化
编译于 Sep 20 2005 15:33:30
WatchMan v1.00 by Gigapede
WindowInfos plugin for Olly - v 0.1
by DDM/FFF
窗口工具 OD插件 v0.06 BETA
Coded by EsseEmme
已解析出 6384 个序号
已解析出 6442 个序号
文件 'C:\Program Files\昕鼎数字监控系统\Jdvr.exe'
ID 000009E4 的新进程已创建
00401000 ID 000005D4 的主线程已创建
00380000 模块 C:\Program Files\昕鼎数字监控系统\lockcomputer.dll
00400000 模块 C:\Program Files\昕鼎数字监控系统\Jdvr.exe
CRC 已更改, 正在放弃 .udd 数据
004F0000 模块 C:\Program Files\昕鼎数字监控系统\jvsdk.dll
10000000 模块 C:\Program Files\昕鼎数字监控系统\decoder.dll
5D170000 模块 C:\WINDOWS\system32\comctl32.dll
71A10000 模块 C:\WINDOWS\system32\WS2HELP.dll
71A20000 模块 C:\WINDOWS\system32\WS2_32.dll
71A40000 模块 C:\WINDOWS\system32\wsock32.dll
736D0000 模块 C:\WINDOWS\system32\ddraw.dll
73B30000 模块 C:\WINDOWS\system32\DCIMAN32.dll
73D30000 模块 C:\WINDOWS\system32\mfc42.dll
73E70000 模块 C:\WINDOWS\system32\dsound.dll
76060000 模块 C:\WINDOWS\system32\setupapi.dll
76990000 模块 C:\WINDOWS\system32\ole32.dll
76B10000 模块 C:\WINDOWS\system32\winmm.dll
76D30000 模块 C:\WINDOWS\system32\iphlpapi.dll
770F0000 模块 C:\WINDOWS\system32\oleaut32.dll
77BD0000 模块 C:\WINDOWS\system32\VERSION.dll
77BE0000 模块 C:\WINDOWS\system32\msvcrt.dll
77D10000 模块 C:\WINDOWS\system32\USER32.dll
77DA0000 模块 C:\WINDOWS\system32\advapi32.dll
77E50000 模块 C:\WINDOWS\system32\RPCRT4.dll
77EF0000 模块 C:\WINDOWS\system32\GDI32.dll
77F40000 模块 C:\WINDOWS\system32\SHLWAPI.dll
77FC0000 模块 C:\WINDOWS\system32\Secur32.dll
7C800000 模块 C:\WINDOWS\system32\kernel32.dll
7C920000 模块 C:\WINDOWS\system32\ntdll.dll
7D590000 模块 C:\WINDOWS\system32\shell32.dll
隐藏调试器
76300000 模块 C:\WINDOWS\system32\IMM32.DLL
62C20000 模块 C:\WINDOWS\system32\LPK.DLL
73FA0000 模块 C:\WINDOWS\system32\USP10.dll
61BE0000 模块 C:\WINDOWS\system32\MFC42LOC.DLL
77180000 模块 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
00DE7A42 INT3 命令位于00DE7A42
imgbase: 00000000
imgbasefromdisk: 00000000
tmp1: 000000F8
1stsecsize: 00000000
1stsecbase: 00000000
00380000 卸载 C:\Program Files\昕鼎数字监控系统\lockcomputer.dll
00400000 卸载 C:\Program Files\昕鼎数字监控系统\Jdvr.exe
004F0000 卸载 C:\Program Files\昕鼎数字监控系统\jvsdk.dll
10000000 卸载 C:\Program Files\昕鼎数字监控系统\decoder.dll
5D170000 卸载 C:\WINDOWS\system32\comctl32.dll
61BE0000 卸载 C:\WINDOWS\system32\MFC42LOC.DLL
62C20000 卸载 C:\WINDOWS\system32\LPK.DLL
71A10000 卸载 C:\WINDOWS\system32\WS2HELP.dll
71A20000 卸载 C:\WINDOWS\system32\WS2_32.dll
71A40000 卸载 C:\WINDOWS\system32\wsock32.dll
736D0000 卸载 C:\WINDOWS\system32\ddraw.dll
73B30000 卸载 C:\WINDOWS\system32\DCIMAN32.dll
73D30000 卸载 C:\WINDOWS\system32\mfc42.dll
73E70000 卸载 C:\WINDOWS\system32\dsound.dll
73FA0000 卸载 C:\WINDOWS\system32\USP10.dll
76060000 卸载 C:\WINDOWS\system32\setupapi.dll
76300000 卸载 C:\WINDOWS\system32\IMM32.DLL
76990000 卸载 C:\WINDOWS\system32\ole32.dll
76B10000 卸载 C:\WINDOWS\system32\winmm.dll
76D30000 卸载 C:\WINDOWS\system32\iphlpapi.dll
770F0000 卸载 C:\WINDOWS\system32\oleaut32.dll
77180000 卸载 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
77BD0000 卸载 C:\WINDOWS\system32\VERSION.dll
77BE0000 卸载 C:\WINDOWS\system32\msvcrt.dll
77D10000 卸载 C:\WINDOWS\system32\USER32.dll
77DA0000 卸载 C:\WINDOWS\system32\advapi32.dll
77E50000 卸载 C:\WINDOWS\system32\RPCRT4.dll
77EF0000 卸载 C:\WINDOWS\system32\GDI32.dll
77F40000 卸载 C:\WINDOWS\system32\SHLWAPI.dll
77FC0000 卸载 C:\WINDOWS\system32\Secur32.dll
7C800000 卸载 C:\WINDOWS\system32\kernel32.dll
7C920000 卸载 C:\WINDOWS\system32\ntdll.dll
7D590000 卸载 C:\WINDOWS\system32\shell32.dll
进程已终止
已解析出 6384 个序号
已解析出 6442 个序号
文件 'C:\Program Files\昕鼎数字监控系统\Jdvr.exe'
ID 00000428 的新进程已创建
00401000 ID 00000980 的主线程已创建
00380000 模块 C:\Program Files\昕鼎数字监控系统\lockcomputer.dll
00400000 模块 C:\Program Files\昕鼎数字监控系统\Jdvr.exe
CRC 已更改, 正在放弃 .udd 数据
004F0000 模块 C:\Program Files\昕鼎数字监控系统\jvsdk.dll
10000000 模块 C:\Program Files\昕鼎数字监控系统\decoder.dll
5D170000 模块 C:\WINDOWS\system32\comctl32.dll
71A10000 模块 C:\WINDOWS\system32\WS2HELP.dll
71A20000 模块 C:\WINDOWS\system32\WS2_32.dll
71A40000 模块 C:\WINDOWS\system32\wsock32.dll
736D0000 模块 C:\WINDOWS\system32\ddraw.dll
73B30000 模块 C:\WINDOWS\system32\DCIMAN32.dll
73D30000 模块 C:\WINDOWS\system32\mfc42.dll
73E70000 模块 C:\WINDOWS\system32\dsound.dll
76060000 模块 C:\WINDOWS\system32\setupapi.dll
76990000 模块 C:\WINDOWS\system32\ole32.dll
76B10000 模块 C:\WINDOWS\system32\winmm.dll
76D30000 模块 C:\WINDOWS\system32\iphlpapi.dll
770F0000 模块 C:\WINDOWS\system32\oleaut32.dll
77BD0000 模块 C:\WINDOWS\system32\VERSION.dll
77BE0000 模块 C:\WINDOWS\system32\msvcrt.dll
77D10000 模块 C:\WINDOWS\system32\USER32.dll
77DA0000 模块 C:\WINDOWS\system32\advapi32.dll
77E50000 模块 C:\WINDOWS\system32\RPCRT4.dll
77EF0000 模块 C:\WINDOWS\system32\GDI32.dll
77F40000 模块 C:\WINDOWS\system32\SHLWAPI.dll
77FC0000 模块 C:\WINDOWS\system32\Secur32.dll
7C800000 模块 C:\WINDOWS\system32\kernel32.dll
7C920000 模块 C:\WINDOWS\system32\ntdll.dll
7D590000 模块 C:\WINDOWS\system32\shell32.dll
隐藏调试器
76300000 模块 C:\WINDOWS\system32\IMM32.DLL
62C20000 模块 C:\WINDOWS\system32\LPK.DLL
73FA0000 模块 C:\WINDOWS\system32\USP10.dll
61BE0000 模块 C:\WINDOWS\system32\MFC42LOC.DLL
77180000 模块 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
00DE7A42 INT3 命令位于00DE7A42
imgbase: 00000000
imgbasefromdisk: 00000000
tmp1: 000000F8
1stsecsize: 00000000
1stsecbase: 00000000
imgbase: 00000000
7C80176F 断点位于 kernel32.GetSystemTime
dllimgbase: 00DB0000
tmp1: 00DBEABC
00DE7A42 INT3 命令位于00DE7A42
00DBEABC 断点位于 00DBEABC
tmp2: 00DE7EC4 | ASCII "103
"
tmp1: 00DE7ECC
00DE7ECC 硬件断点 1 位于 00DE7ECC
tmp1: 00751066
00401000 程序入口点
正在分析 Jdvr
1 个启发式 函数
6BD00000 模块 C:\WINDOWS\system32\SYNCOR11.DLL
调试信息 (CodeView 格式) 有效
7C80176F 断点位于 kernel32.GetSystemTime
015A7A42 INT3 命令位于015A7A42
015A8B2E 断点位于 015A8B2E
015996F6 断点位于 015996F6
0157011A 断点位于 0157011A
AsprAPIloc: 015AB494
015A87F4 断点位于 015A87F4
015A738E 硬件断点 1 位于 015A738E
015A8903 断点位于 015A8903
015A8936 断点位于 015A8936
015A898B 断点位于 015A898B
01570156 断点位于 01570156
01570034 断点位于 01570034
015709D8 断点位于 015709D8
015A7A42 INT3 命令位于015A7A42
0157EABC 断点位于 0157EABC
01599BC7 断点位于 01599BC7
015A7ECC 硬件断点 1 位于 015A7ECC
01CC0278 断点位于 01CC0278
015707D9 断点位于 015707D9
0157003E 断点位于 0157003E
015700F2 断点位于 015700F2
01570030 断点位于 01570030
IAT 的地址 = 00401000
IAT 的相对地址 = 00001000
IAT 的大小 = 00000938
01570079 断点位于 01570079
OEP 的地址 = 0042F37D
OEP 的相对地址 = 0002F37D
00380000 卸载 C:\Program Files\昕鼎数字监控系统\lockcomputer.dll
00400000 卸载 C:\Program Files\昕鼎数字监控系统\Jdvr.exe
无法保存模块 Jdvr 的用户数据
004F0000 卸载 C:\Program Files\昕鼎数字监控系统\jvsdk.dll
10000000 卸载 C:\Program Files\昕鼎数字监控系统\decoder.dll
5D170000 卸载 C:\WINDOWS\system32\comctl32.dll
61BE0000 卸载 C:\WINDOWS\system32\MFC42LOC.DLL
62C20000 卸载 C:\WINDOWS\system32\LPK.DLL
6BD00000 卸载 C:\WINDOWS\system32\SYNCOR11.DLL
无法保存模块 SYNCOR11 的用户数据
71A10000 卸载 C:\WINDOWS\system32\WS2HELP.dll
71A20000 卸载 C:\WINDOWS\system32\WS2_32.dll
71A40000 卸载 C:\WINDOWS\system32\wsock32.dll
736D0000 卸载 C:\WINDOWS\system32\ddraw.dll
73B30000 卸载 C:\WINDOWS\system32\DCIMAN32.dll
73D30000 卸载 C:\WINDOWS\system32\mfc42.dll
73E70000 卸载 C:\WINDOWS\system32\dsound.dll
73FA0000 卸载 C:\WINDOWS\system32\USP10.dll
76060000 卸载 C:\WINDOWS\system32\setupapi.dll
76300000 卸载 C:\WINDOWS\system32\IMM32.DLL
76990000 卸载 C:\WINDOWS\system32\ole32.dll
76B10000 卸载 C:\WINDOWS\system32\winmm.dll
76D30000 卸载 C:\WINDOWS\system32\iphlpapi.dll
770F0000 卸载 C:\WINDOWS\system32\oleaut32.dll
77180000 卸载 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
77BD0000 卸载 C:\WINDOWS\system32\VERSION.dll
77BE0000 卸载 C:\WINDOWS\system32\msvcrt.dll
77D10000 卸载 C:\WINDOWS\system32\USER32.dll
77DA0000 卸载 C:\WINDOWS\system32\advapi32.dll
77E50000 卸载 C:\WINDOWS\system32\RPCRT4.dll
77EF0000 卸载 C:\WINDOWS\system32\GDI32.dll
77F40000 卸载 C:\WINDOWS\system32\SHLWAPI.dll
77FC0000 卸载 C:\WINDOWS\system32\Secur32.dll
7C800000 卸载 C:\WINDOWS\system32\kernel32.dll
7C920000 卸载 C:\WINDOWS\system32\ntdll.dll
7D590000 卸载 C:\WINDOWS\system32\shell32.dll
进程已终止
无法打开导入库
无法打开导入库
文件 'C:\Program Files\昕鼎数字监控系统\Jdvr.exe'
ID 00000700 的新进程已创建
00401000 ID 00000A78 的主线程已创建
00380000 模块 C:\Program Files\昕鼎数字监控系统\lockcomputer.dll
00400000 模块 C:\Program Files\昕鼎数字监控系统\Jdvr.exe
004F0000 模块 C:\Program Files\昕鼎数字监控系统\jvsdk.dll
10000000 模块 C:\Program Files\昕鼎数字监控系统\decoder.dll
5D170000 模块 C:\WINDOWS\system32\comctl32.dll
71A10000 模块 C:\WINDOWS\system32\WS2HELP.dll
71A20000 模块 C:\WINDOWS\system32\WS2_32.dll
71A40000 模块 C:\WINDOWS\system32\wsock32.dll
736D0000 模块 C:\WINDOWS\system32\ddraw.dll
73B30000 模块 C:\WINDOWS\system32\DCIMAN32.dll
73D30000 模块 C:\WINDOWS\system32\mfc42.dll
73E70000 模块 C:\WINDOWS\system32\dsound.dll
76060000 模块 C:\WINDOWS\system32\setupapi.dll
76990000 模块 C:\WINDOWS\system32\ole32.dll
76B10000 模块 C:\WINDOWS\system32\winmm.dll
76D30000 模块 C:\WINDOWS\system32\iphlpapi.dll
770F0000 模块 C:\WINDOWS\system32\oleaut32.dll
77BD0000 模块 C:\WINDOWS\system32\VERSION.dll
77BE0000 模块 C:\WINDOWS\system32\msvcrt.dll
77D10000 模块 C:\WINDOWS\system32\USER32.dll
77DA0000 模块 C:\WINDOWS\system32\advapi32.dll
77E50000 模块 C:\WINDOWS\system32\RPCRT4.dll
77EF0000 模块 C:\WINDOWS\system32\GDI32.dll
77F40000 模块 C:\WINDOWS\system32\SHLWAPI.dll
77FC0000 模块 C:\WINDOWS\system32\Secur32.dll
7C800000 模块 C:\WINDOWS\system32\kernel32.dll
7C920000 模块 C:\WINDOWS\system32\ntdll.dll
7D590000 模块 C:\WINDOWS\system32\shell32.dll
隐藏调试器
76300000 模块 C:\WINDOWS\system32\IMM32.DLL
62C20000 模块 C:\WINDOWS\system32\LPK.DLL
73FA0000 模块 C:\WINDOWS\system32\USP10.dll
61BE0000 模块 C:\WINDOWS\system32\MFC42LOC.DLL
77180000 模块 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
00DE7A42 INT3 命令位于00DE7A42
imgbase: 00000000
7C80176F 断点位于 kernel32.GetSystemTime
dllimgbase: 00DB0000
tmp1: 00DBEABC
00DE7A42 INT3 命令位于00DE7A42
00DBEABC 断点位于 00DBEABC
tmp2: 00DE7EC4 | ASCII "103
"
tmp1: 00DE7ECC
00DE7ECC 硬件断点 1 位于 00DE7ECC
tmp1: 00751066
00401000 程序入口点
正在分析 Jdvr
1 个启发式 函数
6BD00000 模块 C:\WINDOWS\system32\SYNCOR11.DLL
调试信息 (CodeView 格式) 有效
7C80176F 断点位于 kernel32.GetSystemTime
015A7A42 INT3 命令位于015A7A42
015A8B2E 断点位于 015A8B2E
015996F6 断点位于 015996F6
0157011A 断点位于 0157011A
AsprAPIloc: 015AB494
015A87F4 断点位于 015A87F4
015A738E 硬件断点 1 位于 015A738E
015A8903 断点位于 015A8903
015A8936 断点位于 015A8936
015A898B 断点位于 015A898B
01570156 断点位于 01570156
01570034 断点位于 01570034
015709D8 断点位于 015709D8
015A7A42 INT3 命令位于015A7A42
0157EABC 断点位于 0157EABC
01599BC7 断点位于 01599BC7
015A7ECC 硬件断点 1 位于 015A7ECC
01CC0278 断点位于 01CC0278
015707D9 断点位于 015707D9
0157003E 断点位于 0157003E
015700F2 断点位于 015700F2
01570030 断点位于 01570030
IAT 的地址 = 00401000
IAT 的相对地址 = 00001000
IAT 的大小 = 00000938
01570079 断点位于 01570079
OEP 的地址 = 0042F37D
OEP 的相对地址 = 0002F37D
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课