首页
社区
课程
招聘
[旧帖] [求助]有问题请教各位前辈! 0.00雪花
发表于: 2008-12-29 15:10 4094

[旧帖] [求助]有问题请教各位前辈! 0.00雪花

2008-12-29 15:10
4094
刚入门,很多都不太清楚;费了九牛二虎之力脱掉了一个ASProtect V2.3的壳,可程序运行不了,想请各位帮我看看是哪里弄错了,帮小弟分析一下.
  OD载入, 马上提示:"模块'jvsdk'入口点超出代码范围,可能是个自修改或自解压文件."
  "确定"  继续 F9两次提示:代码加密,压缩,大量嵌入数据,分析可能不可靠,是否要继续.
点"取消"  加载脚本"Aspr2.XX_IATfixer_v2.2s.osc"   提示"有偷切代码,请看IAT数据"
  用ImportREC附载JDVR进程,把OEP 的相对地址,IAT 的相对地址,IAT 的大小;填好, 获取输入表
  抓取修复; 最后用LordPE, dump文件.

  附:
   记录数据
地址       消息
           OllyDbg v1.10
             点阵字体 'MS Sans Serif' 已被替换为 '宋体'
           Nonameo's ApiBreak
             Copyright (C) 2005 Nonameo
           Asm2Clipboard PlugIn v0.1
             由 FaTmiKE 编写于 2oo4
             我使用了 Regon 的 ExtraCopy 插件 v1.0 的代码片断
             ...非常感谢 Regon 所做的工作!
           书签示范插件 v1.06 (插件演示)
             Copyright (C) 2001, 2002 Oleh Yuschuk
           CleanupEx v1.12.108  by Gigapede
           CommandBar v3.10.109c
             Original Written by Oleh Yuschuk  Modified by Gigapede  Contributors:TBD Wayne psyCK0 mfn
           命令行 v1.10
             Written by Oleh Yuschuk
           超级拷贝插件 v0.90 by Regon

           GODUP 版本 1.2 by godfather+ - Delphi 版本

           Hide Caption v1.00  by Gigapede
           隐藏调试器 v1.2
             Copyright (c) 2004 by Asterix
           IsDebugPresent plugin v1.4 (SV 2oo3)
           Labeler v1.33.108  by Gigapede
           Labelmaster 插件 v0.1
             版权所有 (C) 2004 JoeStewart
           LoadMap version 0.1 by lgx/iPB loaded
           MapConv V1.4 - 作者 godfather+、TBD 和 SHaG
           MemoryManage beta
             Copyright (C) 2004 pLayAr
             有任何建议请发邮件至 playar0709@21cn.net
           ODbgScript v1.65.2 chinese version by hnhuqiong
             http://bbs.pediy.com or http://www.unpack.cn
           OllyDump v3.00.110  by Gigapede
           OllyFlow 插件 v0.71
             版权所有 (C) 2005 henryouly@pediy
           OllyHelper v1.3 by cygwin@smth
           OllyMachine v0.20
             由罗聪编写
             编译于2004年12月7日 14:32:15
           OllyScript v0.92
             由 SHaG 编写
           OllyDbg PE Dumper  v3.03 by FKMA
           置顶显示插件 v1.0; 编译于 2002年4月21日 22:23:20 CET
             Copyright (C) 2002 Matthijs Laan <matthijsln@xs4all.nl>
           prince's TracKit 插件 V1.10 (beta)
           Copyright (C) 2004-2005 prince
           Handle UnhandledExceptionFilter
           超级字串参考+ v0.11
             罗聪创作/n曹聪汉化
             编译于 Sep 20 2005 15:33:30
           WatchMan v1.00  by Gigapede
           WindowInfos plugin for Olly - v 0.1
           by DDM/FFF
           窗口工具 OD插件 v0.06 BETA
             Coded by EsseEmme
             已解析出 6384 个序号
             已解析出 6442 个序号

           文件 'C:\Program Files\昕鼎数字监控系统\Jdvr.exe'
           ID 000009E4 的新进程已创建
00401000   ID 000005D4 的主线程已创建
00380000   模块 C:\Program Files\昕鼎数字监控系统\lockcomputer.dll
00400000   模块 C:\Program Files\昕鼎数字监控系统\Jdvr.exe
             CRC 已更改, 正在放弃 .udd 数据
004F0000   模块 C:\Program Files\昕鼎数字监控系统\jvsdk.dll
10000000   模块 C:\Program Files\昕鼎数字监控系统\decoder.dll
5D170000   模块 C:\WINDOWS\system32\comctl32.dll
71A10000   模块 C:\WINDOWS\system32\WS2HELP.dll
71A20000   模块 C:\WINDOWS\system32\WS2_32.dll
71A40000   模块 C:\WINDOWS\system32\wsock32.dll
736D0000   模块 C:\WINDOWS\system32\ddraw.dll
73B30000   模块 C:\WINDOWS\system32\DCIMAN32.dll
73D30000   模块 C:\WINDOWS\system32\mfc42.dll
73E70000   模块 C:\WINDOWS\system32\dsound.dll
76060000   模块 C:\WINDOWS\system32\setupapi.dll
76990000   模块 C:\WINDOWS\system32\ole32.dll
76B10000   模块 C:\WINDOWS\system32\winmm.dll
76D30000   模块 C:\WINDOWS\system32\iphlpapi.dll
770F0000   模块 C:\WINDOWS\system32\oleaut32.dll
77BD0000   模块 C:\WINDOWS\system32\VERSION.dll
77BE0000   模块 C:\WINDOWS\system32\msvcrt.dll
77D10000   模块 C:\WINDOWS\system32\USER32.dll
77DA0000   模块 C:\WINDOWS\system32\advapi32.dll
77E50000   模块 C:\WINDOWS\system32\RPCRT4.dll
77EF0000   模块 C:\WINDOWS\system32\GDI32.dll
77F40000   模块 C:\WINDOWS\system32\SHLWAPI.dll
77FC0000   模块 C:\WINDOWS\system32\Secur32.dll
7C800000   模块 C:\WINDOWS\system32\kernel32.dll
7C920000   模块 C:\WINDOWS\system32\ntdll.dll
7D590000   模块 C:\WINDOWS\system32\shell32.dll
           隐藏调试器
76300000   模块 C:\WINDOWS\system32\IMM32.DLL
62C20000   模块 C:\WINDOWS\system32\LPK.DLL
73FA0000   模块 C:\WINDOWS\system32\USP10.dll
61BE0000   模块 C:\WINDOWS\system32\MFC42LOC.DLL
77180000   模块 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
00DE7A42   INT3 命令位于00DE7A42
           imgbase: 00000000
           imgbasefromdisk: 00000000
           tmp1: 000000F8
           1stsecsize: 00000000
           1stsecbase: 00000000
00380000   卸载 C:\Program Files\昕鼎数字监控系统\lockcomputer.dll
00400000   卸载 C:\Program Files\昕鼎数字监控系统\Jdvr.exe
004F0000   卸载 C:\Program Files\昕鼎数字监控系统\jvsdk.dll
10000000   卸载 C:\Program Files\昕鼎数字监控系统\decoder.dll
5D170000   卸载 C:\WINDOWS\system32\comctl32.dll
61BE0000   卸载 C:\WINDOWS\system32\MFC42LOC.DLL
62C20000   卸载 C:\WINDOWS\system32\LPK.DLL
71A10000   卸载 C:\WINDOWS\system32\WS2HELP.dll
71A20000   卸载 C:\WINDOWS\system32\WS2_32.dll
71A40000   卸载 C:\WINDOWS\system32\wsock32.dll
736D0000   卸载 C:\WINDOWS\system32\ddraw.dll
73B30000   卸载 C:\WINDOWS\system32\DCIMAN32.dll
73D30000   卸载 C:\WINDOWS\system32\mfc42.dll
73E70000   卸载 C:\WINDOWS\system32\dsound.dll
73FA0000   卸载 C:\WINDOWS\system32\USP10.dll
76060000   卸载 C:\WINDOWS\system32\setupapi.dll
76300000   卸载 C:\WINDOWS\system32\IMM32.DLL
76990000   卸载 C:\WINDOWS\system32\ole32.dll
76B10000   卸载 C:\WINDOWS\system32\winmm.dll
76D30000   卸载 C:\WINDOWS\system32\iphlpapi.dll
770F0000   卸载 C:\WINDOWS\system32\oleaut32.dll
77180000   卸载 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
77BD0000   卸载 C:\WINDOWS\system32\VERSION.dll
77BE0000   卸载 C:\WINDOWS\system32\msvcrt.dll
77D10000   卸载 C:\WINDOWS\system32\USER32.dll
77DA0000   卸载 C:\WINDOWS\system32\advapi32.dll
77E50000   卸载 C:\WINDOWS\system32\RPCRT4.dll
77EF0000   卸载 C:\WINDOWS\system32\GDI32.dll
77F40000   卸载 C:\WINDOWS\system32\SHLWAPI.dll
77FC0000   卸载 C:\WINDOWS\system32\Secur32.dll
7C800000   卸载 C:\WINDOWS\system32\kernel32.dll
7C920000   卸载 C:\WINDOWS\system32\ntdll.dll
7D590000   卸载 C:\WINDOWS\system32\shell32.dll
           进程已终止
             已解析出 6384 个序号
             已解析出 6442 个序号

           文件 'C:\Program Files\昕鼎数字监控系统\Jdvr.exe'
           ID 00000428 的新进程已创建
00401000   ID 00000980 的主线程已创建
00380000   模块 C:\Program Files\昕鼎数字监控系统\lockcomputer.dll
00400000   模块 C:\Program Files\昕鼎数字监控系统\Jdvr.exe
             CRC 已更改, 正在放弃 .udd 数据
004F0000   模块 C:\Program Files\昕鼎数字监控系统\jvsdk.dll
10000000   模块 C:\Program Files\昕鼎数字监控系统\decoder.dll
5D170000   模块 C:\WINDOWS\system32\comctl32.dll
71A10000   模块 C:\WINDOWS\system32\WS2HELP.dll
71A20000   模块 C:\WINDOWS\system32\WS2_32.dll
71A40000   模块 C:\WINDOWS\system32\wsock32.dll
736D0000   模块 C:\WINDOWS\system32\ddraw.dll
73B30000   模块 C:\WINDOWS\system32\DCIMAN32.dll
73D30000   模块 C:\WINDOWS\system32\mfc42.dll
73E70000   模块 C:\WINDOWS\system32\dsound.dll
76060000   模块 C:\WINDOWS\system32\setupapi.dll
76990000   模块 C:\WINDOWS\system32\ole32.dll
76B10000   模块 C:\WINDOWS\system32\winmm.dll
76D30000   模块 C:\WINDOWS\system32\iphlpapi.dll
770F0000   模块 C:\WINDOWS\system32\oleaut32.dll
77BD0000   模块 C:\WINDOWS\system32\VERSION.dll
77BE0000   模块 C:\WINDOWS\system32\msvcrt.dll
77D10000   模块 C:\WINDOWS\system32\USER32.dll
77DA0000   模块 C:\WINDOWS\system32\advapi32.dll
77E50000   模块 C:\WINDOWS\system32\RPCRT4.dll
77EF0000   模块 C:\WINDOWS\system32\GDI32.dll
77F40000   模块 C:\WINDOWS\system32\SHLWAPI.dll
77FC0000   模块 C:\WINDOWS\system32\Secur32.dll
7C800000   模块 C:\WINDOWS\system32\kernel32.dll
7C920000   模块 C:\WINDOWS\system32\ntdll.dll
7D590000   模块 C:\WINDOWS\system32\shell32.dll
           隐藏调试器
76300000   模块 C:\WINDOWS\system32\IMM32.DLL
62C20000   模块 C:\WINDOWS\system32\LPK.DLL
73FA0000   模块 C:\WINDOWS\system32\USP10.dll
61BE0000   模块 C:\WINDOWS\system32\MFC42LOC.DLL
77180000   模块 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
00DE7A42   INT3 命令位于00DE7A42
           imgbase: 00000000
           imgbasefromdisk: 00000000
           tmp1: 000000F8
           1stsecsize: 00000000
           1stsecbase: 00000000
           imgbase: 00000000
7C80176F   断点位于 kernel32.GetSystemTime
           dllimgbase: 00DB0000
           tmp1: 00DBEABC
00DE7A42   INT3 命令位于00DE7A42
00DBEABC   断点位于 00DBEABC
           tmp2: 00DE7EC4 | ASCII "103
"
           tmp1: 00DE7ECC
00DE7ECC   硬件断点 1 位于 00DE7ECC
           tmp1: 00751066
00401000   程序入口点
           正在分析 Jdvr
             1 个启发式 函数
6BD00000   模块 C:\WINDOWS\system32\SYNCOR11.DLL
             调试信息 (CodeView 格式) 有效
7C80176F   断点位于 kernel32.GetSystemTime
015A7A42   INT3 命令位于015A7A42
015A8B2E   断点位于 015A8B2E
015996F6   断点位于 015996F6
0157011A   断点位于 0157011A
           AsprAPIloc: 015AB494
015A87F4   断点位于 015A87F4
015A738E   硬件断点 1 位于 015A738E
015A8903   断点位于 015A8903
015A8936   断点位于 015A8936
015A898B   断点位于 015A898B
01570156   断点位于 01570156
01570034   断点位于 01570034
015709D8   断点位于 015709D8
015A7A42   INT3 命令位于015A7A42
0157EABC   断点位于 0157EABC
01599BC7   断点位于 01599BC7
015A7ECC   硬件断点 1 位于 015A7ECC
01CC0278   断点位于 01CC0278
015707D9   断点位于 015707D9
0157003E   断点位于 0157003E
015700F2   断点位于 015700F2
01570030   断点位于 01570030
           IAT 的地址 = 00401000
           IAT 的相对地址 = 00001000
           IAT 的大小 = 00000938
01570079   断点位于 01570079
           OEP 的地址 = 0042F37D
           OEP 的相对地址 = 0002F37D
00380000   卸载 C:\Program Files\昕鼎数字监控系统\lockcomputer.dll
00400000   卸载 C:\Program Files\昕鼎数字监控系统\Jdvr.exe
           无法保存模块 Jdvr 的用户数据
004F0000   卸载 C:\Program Files\昕鼎数字监控系统\jvsdk.dll
10000000   卸载 C:\Program Files\昕鼎数字监控系统\decoder.dll
5D170000   卸载 C:\WINDOWS\system32\comctl32.dll
61BE0000   卸载 C:\WINDOWS\system32\MFC42LOC.DLL
62C20000   卸载 C:\WINDOWS\system32\LPK.DLL
6BD00000   卸载 C:\WINDOWS\system32\SYNCOR11.DLL
           无法保存模块 SYNCOR11 的用户数据
71A10000   卸载 C:\WINDOWS\system32\WS2HELP.dll
71A20000   卸载 C:\WINDOWS\system32\WS2_32.dll
71A40000   卸载 C:\WINDOWS\system32\wsock32.dll
736D0000   卸载 C:\WINDOWS\system32\ddraw.dll
73B30000   卸载 C:\WINDOWS\system32\DCIMAN32.dll
73D30000   卸载 C:\WINDOWS\system32\mfc42.dll
73E70000   卸载 C:\WINDOWS\system32\dsound.dll
73FA0000   卸载 C:\WINDOWS\system32\USP10.dll
76060000   卸载 C:\WINDOWS\system32\setupapi.dll
76300000   卸载 C:\WINDOWS\system32\IMM32.DLL
76990000   卸载 C:\WINDOWS\system32\ole32.dll
76B10000   卸载 C:\WINDOWS\system32\winmm.dll
76D30000   卸载 C:\WINDOWS\system32\iphlpapi.dll
770F0000   卸载 C:\WINDOWS\system32\oleaut32.dll
77180000   卸载 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
77BD0000   卸载 C:\WINDOWS\system32\VERSION.dll
77BE0000   卸载 C:\WINDOWS\system32\msvcrt.dll
77D10000   卸载 C:\WINDOWS\system32\USER32.dll
77DA0000   卸载 C:\WINDOWS\system32\advapi32.dll
77E50000   卸载 C:\WINDOWS\system32\RPCRT4.dll
77EF0000   卸载 C:\WINDOWS\system32\GDI32.dll
77F40000   卸载 C:\WINDOWS\system32\SHLWAPI.dll
77FC0000   卸载 C:\WINDOWS\system32\Secur32.dll
7C800000   卸载 C:\WINDOWS\system32\kernel32.dll
7C920000   卸载 C:\WINDOWS\system32\ntdll.dll
7D590000   卸载 C:\WINDOWS\system32\shell32.dll
           进程已终止
             无法打开导入库
             无法打开导入库

           文件 'C:\Program Files\昕鼎数字监控系统\Jdvr.exe'
           ID 00000700 的新进程已创建
00401000   ID 00000A78 的主线程已创建
00380000   模块 C:\Program Files\昕鼎数字监控系统\lockcomputer.dll
00400000   模块 C:\Program Files\昕鼎数字监控系统\Jdvr.exe
004F0000   模块 C:\Program Files\昕鼎数字监控系统\jvsdk.dll
10000000   模块 C:\Program Files\昕鼎数字监控系统\decoder.dll
5D170000   模块 C:\WINDOWS\system32\comctl32.dll
71A10000   模块 C:\WINDOWS\system32\WS2HELP.dll
71A20000   模块 C:\WINDOWS\system32\WS2_32.dll
71A40000   模块 C:\WINDOWS\system32\wsock32.dll
736D0000   模块 C:\WINDOWS\system32\ddraw.dll
73B30000   模块 C:\WINDOWS\system32\DCIMAN32.dll
73D30000   模块 C:\WINDOWS\system32\mfc42.dll
73E70000   模块 C:\WINDOWS\system32\dsound.dll
76060000   模块 C:\WINDOWS\system32\setupapi.dll
76990000   模块 C:\WINDOWS\system32\ole32.dll
76B10000   模块 C:\WINDOWS\system32\winmm.dll
76D30000   模块 C:\WINDOWS\system32\iphlpapi.dll
770F0000   模块 C:\WINDOWS\system32\oleaut32.dll
77BD0000   模块 C:\WINDOWS\system32\VERSION.dll
77BE0000   模块 C:\WINDOWS\system32\msvcrt.dll
77D10000   模块 C:\WINDOWS\system32\USER32.dll
77DA0000   模块 C:\WINDOWS\system32\advapi32.dll
77E50000   模块 C:\WINDOWS\system32\RPCRT4.dll
77EF0000   模块 C:\WINDOWS\system32\GDI32.dll
77F40000   模块 C:\WINDOWS\system32\SHLWAPI.dll
77FC0000   模块 C:\WINDOWS\system32\Secur32.dll
7C800000   模块 C:\WINDOWS\system32\kernel32.dll
7C920000   模块 C:\WINDOWS\system32\ntdll.dll
7D590000   模块 C:\WINDOWS\system32\shell32.dll
           隐藏调试器
76300000   模块 C:\WINDOWS\system32\IMM32.DLL
62C20000   模块 C:\WINDOWS\system32\LPK.DLL
73FA0000   模块 C:\WINDOWS\system32\USP10.dll
61BE0000   模块 C:\WINDOWS\system32\MFC42LOC.DLL
77180000   模块 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
00DE7A42   INT3 命令位于00DE7A42
           imgbase: 00000000
7C80176F   断点位于 kernel32.GetSystemTime
           dllimgbase: 00DB0000
           tmp1: 00DBEABC
00DE7A42   INT3 命令位于00DE7A42
00DBEABC   断点位于 00DBEABC
           tmp2: 00DE7EC4 | ASCII "103
"
           tmp1: 00DE7ECC
00DE7ECC   硬件断点 1 位于 00DE7ECC
           tmp1: 00751066
00401000   程序入口点
           正在分析 Jdvr
             1 个启发式 函数
6BD00000   模块 C:\WINDOWS\system32\SYNCOR11.DLL
             调试信息 (CodeView 格式) 有效
7C80176F   断点位于 kernel32.GetSystemTime
015A7A42   INT3 命令位于015A7A42
015A8B2E   断点位于 015A8B2E
015996F6   断点位于 015996F6
0157011A   断点位于 0157011A
           AsprAPIloc: 015AB494
015A87F4   断点位于 015A87F4
015A738E   硬件断点 1 位于 015A738E
015A8903   断点位于 015A8903
015A8936   断点位于 015A8936
015A898B   断点位于 015A898B
01570156   断点位于 01570156
01570034   断点位于 01570034
015709D8   断点位于 015709D8
015A7A42   INT3 命令位于015A7A42
0157EABC   断点位于 0157EABC
01599BC7   断点位于 01599BC7
015A7ECC   硬件断点 1 位于 015A7ECC
01CC0278   断点位于 01CC0278
015707D9   断点位于 015707D9
0157003E   断点位于 0157003E
015700F2   断点位于 015700F2
01570030   断点位于 01570030
           IAT 的地址 = 00401000
           IAT 的相对地址 = 00001000
           IAT 的大小 = 00000938
01570079   断点位于 01570079
           OEP 的地址 = 0042F37D
           OEP 的相对地址 = 0002F37D

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
接上,刚发现主程序调用的DLL也加了同样的壳,不知道有没关系, 刚试脱了下,没有成功.
2008-12-29 15:17
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
因主题表达不清楚,发了篇新帖,请版主删掉此帖.谢谢!!!!!!
2008-12-29 15:32
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
请前辈们回复到这里http://bbs.pediy.com/showthread.php?t=79650
2008-12-29 15:33
0
游客
登录 | 注册 方可回帖
返回
//