能力值:
( LV9,RANK:250 )
|
-
-
26 楼
谢谢FLY耐心指点,又学会一些东西。ASPR升级真快,刚学会老版本的脱壳,新的又来了。最讨厌的是用了Stolen Byte,好难猜。以壳解壳真是个好思路。
|
能力值:
( LV9,RANK:250 )
|
-
-
27 楼
一步步跟下来,终于按文章将壳DUMP下来并修复了函数,一运行,出错。仔细比较一下,发现我找到的OEP与文章写的不一样,
012C6A59 C3 retn//飞向光明之巅!返回程序004072DC,而我返回的是407350。
我觉得我都跟着做了,调试脱壳后的程序可以跟到407350,往下发现在下面出错。
00403F8A MOV ECX,DWORD PTR DS:[EAX] --->EAX指向无效地址01E604BC。
难道是我DUMP出来的程序不全?或是我跟出的OEP根本都是错误的?
|
能力值:
( LV9,RANK:810 )
|
-
-
28 楼
最初由 lzqgj 发布
一步步跟下来,终于按文章将壳DUMP下来并修复了函数,一运行,出错。仔细比较一下,发现我找到的OEP与文章写的不一样,
012C6A59 C3 retn//飞向光明之巅!返回程序004072DC,而我返回的是407350。
我觉得我都跟着做了,调试脱壳后的程序可以跟到407350,往下发现在下面出错。
00403F8A MOV ECX,DWORD PTR DS:[EAX] --->EAX指向无效地址01E604BC。
难道是我DUMP出来的程序不全?或是我跟出的OEP根本都是错误的?
 asprotect是动态地址,比如fly区域脱壳是
120000 你脱壳出来的可能是160000,这样存在偏移地址问题,直接照抄当然有问题,  我昨天搞了一天都没有搞定,现在还是,等那天彻底弄一下,先要彻底看懂文章。
|
能力值:
( LV9,RANK:1210 )
|
-
-
29 楼
这种办法大概用来写脱壳机更合适?stripper207
好象就用这个。判断合适的位置恐怕不比追
stolen code容易。
|
能力值:
( LV12,RANK:210 )
|
-
-
30 楼
这个程序以前碰过,里面有不少函数和变量需要到壳中
象这样补是不是就不需要修补暗桩和模仿局部堆什么的?
|
能力值:
( LV9,RANK:250 )
|
-
-
31 楼
动态地址问题我倒是注意了,我这里区段从12CC000开始,大小8000,FLY跟出的从12C0000开始,大小8000。我觉得奇怪怎么我返回程序的OEP会不同?难道在不同机子上OEP也动态变化???
|
能力值:
( LV9,RANK:3410 )
|
-
-
32 楼
最初由 softworm 发布
这种办法大概用来写脱壳机更合适?stripper207
好象就用这个。判断合适的位置恐怕不比追
stolen code容易。 对于ASProtect 1.23RC4壳,这个位置应该比较好找的
老兄还记得飞速脱的那个CommView否?
|
能力值:
( LV9,RANK:3410 )
|
-
-
33 楼
最初由 yesky1 发布
这个程序以前碰过,里面有不少函数和变量需要到壳中
象这样补是不是就不需要修补暗桩和模仿局部堆什么的? 这个Resource Builder 2.1.0.3版本的暗桩应该不多
注意我借助了AsprDbgr来修复输入表,省了不少事 TO lzqgj:
区域脱壳的地址部分是动态的,而伪OEP是确定的
0061365F E8 3C3DDFFF call Resbldr2.004073A0//伪OEP ★
另:这个东东其实不需要跟踪到伪OEP啦
|
能力值:
( LV9,RANK:250 )
|
-
-
34 楼
我服了它了,搞了好久都没有搞定,脱出来的总是运行错误。
伪OEP与FLY得到的不同,为407350,
另00403F8A MOV ECX,DWORD PTR DS:[EAX] --->EAX指向无效地址01E604BC,程序从这里出错退出。估计应该是相应代码没有DUMP出来。
注意到FLY说了句用lordPE要修正ImageSize,我没有修正,不知有没有问题?如果要修正,正确值是多少?
问了这么多问题,自己都不好意思了。
|
能力值:
( LV9,RANK:3410 )
|
-
-
35 楼
不必着急,你丢个mail,我把脱壳后的文件发给你参考
论坛上传要分割,有点麻烦
|
能力值:
( LV9,RANK:250 )
|
-
-
36 楼
谢谢!lzqgj@sohu.com
|
能力值:
( LV9,RANK:250 )
|
-
-
37 楼
脱壳程序已收到,谢谢FLY!
我跟踪的程序首先EBX的值就不同。
012C0000 BB 8B070000 mov ebx,78B --->我这里是67E
012C0005 E9 8F6A0000 jmp dumped_.012C6A99
其次返回的伪OEP不同,我的是407350,而正常运行的程序是4073A0
最要命的是在00403F8A MOV ECX,DWORD PTR DS:[EAX] --->EAX指向无效地址01E604BC,正确脱壳的程序在进入自身进程后会产生一段内存空间,而EAX将指向这些地址,这些是程序运行必需的数据,但我脱的程序没有产生这段空间,因而指向无效地址。
我是在MOV EBX, 67E处DUMP程序及部分区域,不知是否正确?
我已经快被它折磨死了,想放弃可是又不甘心。自觉是看明白了,可是做起来还差了一大截。
|
能力值:
( LV9,RANK:3410 )
|
-
-
38 楼
首先注意你的目标程序的版本是否相同?
其次以你跟踪看到的结果为准
再次:Crack需要耐心和毅力,建议兄弟先放几天,或许过几天再看的时候就有新的进展了 ;)
|
能力值:
( LV9,RANK:250 )
|
-
-
39 楼
是的,原以为以前脱了不少低版本的ASPR壳,这个应该容易制定,现看来还是基本功不够,急也急不来,还是先放几天。感谢FLY耐心指导。
|
能力值:
( LV9,RANK:250 )
|
-
-
40 楼
FLY能不能发个未脱壳的程序给我?我想对比一下找找我的问题。
|
能力值:
( LV9,RANK:3410 )
|
-
-
41 楼
这个版本的原安装程序太大,有4M多
你自己搜索看看,应该能找到吧
|
能力值:
( LV9,RANK:810 )
|
-
-
42 楼
我搞了三天,还是失败了。
fly能否做个动画给我邮箱
weiyi75@sohu.com
|
能力值:
( LV9,RANK:3410 )
|
-
-
43 楼
最初由 David 发布
我搞了三天,还是失败了。
fly能否做个动画给我邮箱
weiyi75@sohu.com 现在比较忙。并且我一向懒得做动画 :(
哪位兄弟有空帮忙做个动画? 
|
能力值:
( LV9,RANK:810 )
|
-
-
44 楼
最初由 fly 发布
现在比较忙。并且我一向懒得做动画 :(
哪位兄弟有空帮忙做个动画?
没戏了,自行解决。
|
能力值:
( LV9,RANK:2130 )
|
-
-
45 楼
呵呵,要不要我抽空POST一个给你呀?
|
能力值:
( LV9,RANK:250 )
|
-
-
46 楼
我只想要未脱壳的程序,不要安装程序。
|
能力值:
( LV9,RANK:3410 )
|
-
-
47 楼
最初由 lzqgj 发布
我只想要未脱壳的程序,不要安装程序。 Resbldr2.exe 原主程序已经mail给你
|
能力值:
( LV9,RANK:250 )
|
-
-
48 楼
我跟了FLY的未脱壳程序,跟踪到结果与FLY一样,看来版本有些不同(不过ABOUT显示是同一版本的),但仍未能正常运行。应该是我的方法不对,与程序版本无关。只好先放下,以后再研究。谢谢FLY多次帮助!
|
能力值:
( LV9,RANK:2130 )
|
-
-
49 楼
fly老大,在我这里也不行哦,唉,菜呢,老大有书看,我还是做不来:(
|
能力值:
( LV9,RANK:3410 )
|
-
-
50 楼
最初由 loveboom 发布
fly老大,在我这里也不行哦,唉,菜呢,老大有书看,我还是做不来:( 哪里有问题?
这个东东这样做应该是可以的,有兄弟照这样脱好了
麻烦lzqgj把我脱壳后的主程序发给loveboom看看
|
|
|
|
