首页
社区
课程
招聘
[旧帖] [求助]这是什么壳,怎么脱!高手指点~~ 0.00雪花
发表于: 2009-1-7 20:03 7115

[旧帖] [求助]这是什么壳,怎么脱!高手指点~~ 0.00雪花

2009-1-7 20:03
7115
http://www.recoverytoolbox.com/download/RecoveryToolboxForSQLServerInstall.exe

一个国外的软件,加了壳,道行不够!谁帮我介绍这个壳的脱法~~

万分感谢,祝大家牛年大吉!!!!!!!!

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (21)
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
ASProtect 1.35 build 04.25 or 06.26 Release
2009-1-7 20:19
0
雪    币: 102
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
有对这个壳了解的,请指点一二!!!
2009-1-7 20:23
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
这个程序不简单,作者好像经过处理加密了一个区段。也许是我思路不对,继续看看
2009-1-7 20:53
0
雪    币: 102
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
用OD载入,运行 Aspr2.XX_unpacker_v1.0SC.osc 脚本后!

查看记录,然后

Log data
地址       消息
           OllyDbg v1.10
             已使用 Tahoma 代替点阵字体 MS Sans Serif
           +BP-OLLY - Ver 1.0 by RedH@wK
           [CracksLatinos] - [aRC] - [RVLCN]
           http://redhawk.hispadominio.com
           http://www.crackslatinos.hispadominio.net/
           http://groups.google.com/group/arc3000
           http://www.revolucion7000.com/
           Nonameo's ApiBreak
             Copyright (C) 2005 Nonameo
           FindAPI - v0.1 (ap0x)
           API断点设置工具 - Ver 1.2 by 蓝色光芒
           Asm2Clipboard PlugIn v0.1
             由 FaTmiKE 编写于 2oo4
             我使用了 Regon 的 ExtraCopy 插件 v1.0 的代码片断
             ...非常感谢 Regon 所做的工作!
           Bookmarks v2
             版权所有 (C) 2005 Bobby
           CleanupEx v1.12.108  by Gigapede
           CommandBar v3.20.110
             Original Written by Oleh Yuschuk  Modified by Gigapede  Contributors:TBD Wayne psyCK0 mfn
                TBar support by arjuns
           DelphiHelper v0.3 kongfoo[CuG][CTDG]
           异常计数器插件 [v 0.1b] 由 ZeetreX
           超级拷贝插件 v0.90 by Regon
           Extras 版权所有 (c) 2005 Bobby

           GODUP v1.2 [godfather+] - Delphi 版本

           Hide Caption v1.00  by Gigapede
           隐藏调试器 v1.2.3f
             Copyright (c) 2005 by Asterix
           HideOD, www.pediy.com
           Invisible Plugin, by okdodo
           插件 IsDebugPresent v1.4 (SV 2003)-|-ExtraHide (TeST)
           Labeler v1.33.108  by Gigapede
           Labelmaster 插件 v0.1
             版权所有 (C) 2004 JoeStewart
           LoadMap version 0.1 by lgx/iPB loaded
           LoadMapEx v1.1 by forever[RCT]
           MemoryManage beta
             Copyright (C) 2004 pLayAr
             有任何建议请发邮件至 playar0709@21cn.net
           Nonameo's NonaWrite 1.1
             Copyright (C) 2005 Nonameo
           ODbgScript v1.53
             by hnhuqiong@126.com from ODbgScript 1.47 by Epsylon3
             Compiled May  2 2007 16:05:00   www.pediy.com
           OllyDump v3.00.110  by Gigapede
           OllyFlow 插件 v0.71
             版权所有 (C) 2005 henryouly@pediy
           OllyMachine v0.20
             由罗聪编写
             编译于2004年12月7日 14:32:15
           插件 OllySnake 编译时间:2006-1-27
             版权所有 (c) 2005 Jospeh Moti & Kobi Par
           OllyStepNSearch 0.5.0
             无版权公开 2006 Didier Stevens
           OllyStepNSearch achSearchText =
           OllyStepNSearch ulStepInLimit = 10000000
           OllyTiper V1.0 by Ryokou
           _Tablefunction Addr 0045835C
           插件 OllyUni v0.07 (Unicode/RetDiff/Filter/SPret)
             版权所有 (c) 2003 FX of Phenoelit
           插件 Breakpoint Manager 编译: 2005-7-13
             版权所有 (c) 2005 Pedram Amini
           Puntos Magicos v1.10
             插件作者:TheKluger
             Punto H: 77D1999C
             Punto A-VB6: 733E1CDF
             Punto A-VB5: 7403E5A5
           SkyPatch v1.0
           by exfsky
           now LoadLibrary
           Olly TBar Manager  Plug-in compiled on Jun  3 2006
           anorgranix!! thanks alot for your kind help
               Copyright (c) 2006 arjuns,a41arjuns@hotmail.com
           prince's TracKit 插件 V1.10 (beta)
           Copyright (C) 2004-2005 prince
           超级字串参考 v0.12
             Written by Luo Cong
             Compiled on Dec 14 2006, 04:52:21
           WatchMan v1.00  by Gigapede
           WindowJuggler v0.06b
             作者: EsseEmme
                        数据格式转换 plugin v1.1
           该插件可以将内存里的二进制数据转换为相应的编译语言数据格式
                   Copyright (C) 2006 by zhanshen[DFCG][RCT]
           OllyStepNSearch achSearchText =
           OllyStepNSearch ulStepInLimit = 10000000
           正在扫描导入库:.\LIB\MFC42.Lib
             已解析 6384 个序数
           正在扫描导入库:.\LIB\mfc71.Lib
             已解析 6442 个序数

           新线程 ID 00000B14 已创建
00401000   主线程 ID 00000908 已创建
00400000   模块 D:\Program Files\Recovery Toolbox for SQL Server\RecoveryToolboxForSQLServer.exe
00401000     文件头中的代码大小是 0015DA00, 已对区段扩容: -> 00401000
5D170000   模块 C:\WINDOWS\system32\comctl32.dll
5D171000     文件头中的代码大小是 00070C00, 已对区段扩容: '.text'
5D300000   模块 C:\WINDOWS\system32\hhctrl.ocx
5D301000     文件头中的代码大小是 00056200, 已对区段扩容: '.text'
71A90000   模块 C:\WINDOWS\system32\mpr.dll
71A91000     文件头中的代码大小是 0000D400, 已对区段扩容: '.text'
75C60000   模块 C:\WINDOWS\system32\urlmon.dll
75C61000     文件头中的代码大小是 00071A00, 已对区段扩容: '.text'
76320000   模块 C:\WINDOWS\system32\comdlg32.dll
76321000     文件头中的代码大小是 00030000, 已对区段扩容: '.text'
765E0000   模块 C:\WINDOWS\system32\CRYPT32.dll
765E1000     文件头中的代码大小是 00084400, 已对区段扩容: '.text'
76680000   模块 C:\WINDOWS\system32\WININET.dll
76681000     文件头中的代码大小是 00089600, 已对区段扩容: '.text'
76990000   模块 C:\WINDOWS\system32\ole32.dll
76991000     文件头中的代码大小是 00125000, 已对区段扩容: '.text'
76DB0000   模块 C:\WINDOWS\system32\MSASN1.dll
76DB1000     文件头中的代码大小是 0000D200, 已对区段扩容: '.text'
770F0000   模块 C:\WINDOWS\system32\oleaut32.dll
770F1000     文件头中的代码大小是 0007EE00, 已对区段扩容: '.text'
77BD0000   模块 C:\WINDOWS\system32\version.dll
77BD1000     文件头中的代码大小是 00003A00, 已对区段扩容: '.text'
77BE0000   模块 C:\WINDOWS\system32\msvcrt.dll
77BE1000     文件头中的代码大小是 0004BE00, 已对区段扩容: '.text'
77D10000   模块 C:\WINDOWS\system32\USER32.dll
77D11000     文件头中的代码大小是 0005F400, 已对区段扩容: '.text'
77DA0000   模块 C:\WINDOWS\system32\ADVAPI32.dll
77DA1000     文件头中的代码大小是 00074600, 已对区段扩容: '.text'
77E50000   模块 C:\WINDOWS\system32\RPCRT4.dll
77E51000     文件头中的代码大小是 00089200, 已对区段扩容: '.text'
77EF0000   模块 C:\WINDOWS\system32\GDI32.dll
77EF1000     文件头中的代码大小是 00042C00, 已对区段扩容: '.text'
77F40000   模块 C:\WINDOWS\system32\SHLWAPI.dll
77F41000     文件头中的代码大小是 0006BC00, 已对区段扩容: '.text'
77FC0000   模块 C:\WINDOWS\system32\Secur32.dll
77FC1000     文件头中的代码大小是 0000C200, 已对区段扩容: '.text'
7C800000   模块 C:\WINDOWS\system32\kernel32.dll
7C801000     文件头中的代码大小是 00083200, 已对区段扩容: '.text'
7C920000   模块 C:\WINDOWS\system32\ntdll.dll
7C921000     文件头中的代码大小是 0007A000, 已对区段扩容: '.text'
7D590000   模块 C:\WINDOWS\system32\shell32.dll
7D591000     文件头中的代码大小是 001FDA00, 已对区段扩容: '.text'
           隐藏调试器
76300000   模块 C:\WINDOWS\system32\IMM32.DLL
76301000     文件头中的代码大小是 00014C00, 已对区段扩容: '.text'
62C20000   模块 C:\WINDOWS\system32\LPK.DLL
62C21000     文件头中的代码大小是 00004800, 已对区段扩容: '.text'
73FA0000   模块 C:\WINDOWS\system32\USP10.dll
73FA1000     文件头中的代码大小是 00043A00, 已对区段扩容: '.text'
77180000   模块 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
77181000     文件头中的代码大小是 00090C00, 已对区段扩容: '.text'
74680000   模块 C:\WINDOWS\system32\MSCTF.dll
74681000     文件头中的代码大小是 00041800, 已对区段扩容: '.text'
10000000   模块 C:\Program Files\360safe\safemon\safemon.dll
10001000     文件头中的代码大小是 00015000, 已对区段扩容: '.text'
00401000   程序入口点
             Remove-RtlNtGlobalFlags
             Remove-ForceFlags
76BC0000   模块 C:\WINDOWS\system32\PSAPI.DLL
76BC1000     文件头中的代码大小是 00004000, 已对区段扩容: '.text'
71A40000   模块 C:\WINDOWS\system32\wsock32.dll
71A41000     文件头中的代码大小是 00002400, 已对区段扩容: '.text'
71A20000   模块 C:\WINDOWS\system32\WS2_32.dll
71A21000     文件头中的代码大小是 00012200, 已对区段扩容: '.text'
7C80176F   断点位于 kernel32.GetSystemTime
014572C6   INT3 命令位于 014572C6
0145850E   断点位于 0145850E
01463E2E   断点位于 01463E2E
0144011A   断点位于 0144011A
014581C2   断点位于 014581C2
01462686   硬件断点 1 位于 01462686
014582E3   断点位于 014582E3
01458316   断点位于 01458316
0145836B   断点位于 0145836B
01440156   断点位于 01440156
01440034   断点位于 01440034
0145946E   断点位于 0145946E
01440024   断点位于 01440024
00550098   断点位于 Recovery.00550098
           GetHardwareID  0055D3C0
00550038   断点位于 Recovery.00550038
           GetDecryptProc  0055D3D0
00550048   断点位于 Recovery.00550048
           GetEncryptProc  0055D3D0
00550058   断点位于 Recovery.00550058
           GetRegistrationInformation  0055D3E0
014572C6   INT3 命令位于 014572C6
0144C3C8   断点位于 0144C3C8
0145621B   断点位于 0145621B
014578A4   硬件断点 1 位于 014578A4
0055F428   条件暂停: eip < 01410000
           IAT 的地址 = 009ADA4C
           IAT 的相对地址 = 005ADA4C
           IAT 的大小 = 0000086C
01440042   断点位于 01440042
           OEP 的地址 = 0055F428
           OEP 的相对地址 = 0015F428
2009-1-7 21:07
0
雪    币: 102
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
然后要怎么做呀,最好给我一个傻瓜式的步骤!本人菜鸟级~~~~
2009-1-7 21:08
0
雪    币: 102
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
IAT修复时怎么报错呢???
2009-1-7 21:17
0
雪    币: 6082
活跃值: (794)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
8
SDK  ?
2009-1-7 21:39
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
用ESP好像可以到OEP但是INT好像加密了
2009-1-7 21:40
0
雪    币: 6082
活跃值: (794)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
10

楼上IAT
2009-1-7 21:46
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
不对 好象没加密
我也不知道了
等高手搞吧
2009-1-7 21:54
0
雪    币: 102
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
期待中......
2009-1-8 08:12
0
雪    币: 102
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
下面是我用过的几个关于脱这个壳的脚本,或许能给高手点帮助!
上传的附件:
2009-1-8 08:38
0
雪    币: 102
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
顶......
2009-1-8 21:34
0
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
这个壳的OEP的代码被偷走了吧,好像要补丁啊,这样的壳高手有没有什么好的方法啊?
2009-1-9 11:20
0
雪    币: 6082
活跃值: (794)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
16
你 自己 都说------------------这个壳的OEP的代码被偷走了吧,好像要补
不是补丁
2009-1-9 12:17
0
雪    币: 102
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
楼上,好象懂这个壳,给我一个解决思路好吗??
2009-1-10 09:47
0
雪    币: 2067
活跃值: (82)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
18
123456
上传的附件:
2009-1-10 11:12
0
雪    币: 102
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
传说中的高人出现了......先恭敬一下,马上试一下!
2009-1-10 11:52
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
18楼弄个录像上来吧,学习下.
2009-1-10 13:17
0
雪    币: 102
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
你匆匆的来,又匆匆的离去,18楼破解高人给点提示好吗?
2009-1-10 17:48
0
雪    币: 1564
活跃值: (3572)
能力值: ( LV13,RANK:420 )
在线值:
发帖
回帖
粉丝
22
传说中的.......
2009-1-10 17:52
0
游客
登录 | 注册 方可回帖
返回
//