ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov
用了VolX大侠的Aspr2.XX_unpacker_v1.0SC.osc脚本,提示没有偷窃代码。
下面是脚本的运行记录:
00401000 程序入口点
Remove-RtlNtGlobalFlags
Remove-ForceFlags
77180000 模块 C:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
77181000 文件头中的代码大小是 00090C00, 已对区段扩容: '.text'
71A40000 模块 C:\windows\system32\wsock32.dll
71A41000 文件头中的代码大小是 00002400, 已对区段扩容: '.text'
7C80176F 断点位于 kernel32.GetSystemTime
00CFDAFA 断点位于 00CFDAFA
00D0945A 断点位于 00D0945A
00CE011A 断点位于 00CE011A
00CFD7AE 断点位于 00CFD7AE
00D07CB2 硬件断点 1 位于 00D07CB2
00D07C73 硬件断点 2 位于 00D07C73
00CFD8CF 断点位于 00CFD8CF
00CFD902 断点位于 00CFD902
00CFD957 断点位于 00CFD957
Delphi 初始化表的地址 0060FE14
00CF69B8 断点位于 00CF69B8
00CF69B8 断点位于 00CF69B8
00CF69B8 断点位于 00CF69B8
0103017E 断点位于 0103017E
00CE002E 断点位于 00CE002E
00CE0062 断点位于 00CE0062
00CE00C5 断点位于 00CE00C5
00CE01B4 断点位于 00CE01B4
00CE0156 断点位于 00CE0156
00CE0034 断点位于 00CE0034
00CEC8AC 断点位于 00CEC8AC
00CF66FF 断点位于 00CF66FF
00CFCE8C 硬件断点 1 位于 00CFCE8C
00ED02EC 条件暂停: eip < ED0000
IAT 的地址 = 0063B1CC
IAT 的相对地址 = 0023B1CC
IAT 的大小 = 00000834
00CE0042 断点位于 00CE0042
OEP 的地址 = 00ED02EC
OEP 的相对地址 = 00AD02EC
到此结束,打开Import Reconstructor 1.6,选择OD调试的程序,输入上面的OEP相对地址,选择IAT自动搜索,提示:无效的OEP,它与内存中的程序不匹配。
PEID获取的OEP是0060EB04,用0020eb04也不行。请求指点,最好详细点。感谢!!!
要脱壳的软件地址:
http://www.rayfile.com/files/1029199e-3cbe-11de-93b2-0019d11a795f/
我已按照2楼的方法操作过了,修补过后,程序不能运行,怎么回事? peid查不是有效的PE文件。
20090509下午18:00
用Aspr2.XX_unpacker_v1.14aSC.osc脚本,提示有偷窃代码
下面是记录:
Log data
地址 消息
OllyDbg v1.10
点阵字体 'MS Sans Serif' 已被替换为 '宋体'
+BP-OLLY - Ver 1.0 by RedH@wK
[CracksLatinos] - [aRC] - [RVLCN]
http://redhawk.hispadominio.com
http://www.crackslatinos.hispadominio.net/
http://groups.google.com/group/arc3000
http://www.revolucion7000.com/
Nonameo's ApiBreak
Copyright (C) 2005 Nonameo
API断点设置工具 - Ver 1.2 by 蓝色光芒
Asm2Clipboard PlugIn v0.1
Written by FaTmiKE 2oo4
I used code snippets from ExtraCopy PlugIn v1.0 by Regon
...so thanks to Regon for his great job!
Bookmarks sample plugin v1.06 (plugin demo)
Copyright (C) 2001, 2002 Oleh Yuschuk
CleanupEx v1.12.108 by Gigapede
CommandBar v3.00.108
Originary Written by Oleh Yuschuk Modified by Gigapede Contributors:TBD Wayne psyCK0 mfn
GODUP ver 1.2 by godfather+ - Delphi edition
Hide Caption v1.00 by Gigapede
隐藏调试器 v1.2.3f
Copyright (c) 2005 by Asterix
HideOD,
www.pediy.com
IsDebugPresent plugin v1.4 (SV 2oo3)
插件 IsDebugPresent v1.4 (SV 2003)-|-ExtraHide (TeST)
Labelmaster 插件 v0.1
版权所有 (C) 2004 JoeStewart
LoadMap version 0.1 by lgx/iPB loaded
LoadMapEx v1.1 by forever[RCT]
MemoryManage beta
Copyright (C) 2004 pLayAr
有任何建议请发邮件至 [email]playar0709@21cn.net[/email]
ODbgScript v1.65.2 chinese version by hnhuqiong
http://bbs.pediy.com or
http://www.unpack.cn
OllyDump v3.00.110 by Gigapede
OllyFlow 插件 v0.71
版权所有 (C) 2005 henryouly@pediy
OllyMachine v0.20
Written by Luo Cong
Compiled on Dec 7 2004 14:32:15
OllyScript v0.92
Written by SHaG
PhantOm plugin 1.20
by Hellsp@wn & Archer
Ultra String Reference v0.11
Written by Luo Cong
Compiled on Sep 20 2005 15:33:30
WatchMan v1.00 by Gigapede
数据格式转换 plugin v1.1
该插件可以将内存里的二进制数据转换为相应的编译语言数据格式
Copyright (C) 2006 by zhanshen[DFCG][RCT]
正在扫描导入库 '.\LIB\MFC42.Lib'
已解析出 6384 个序号
正在扫描导入库 '.\LIB\mfc71.Lib'
已解析出 6442 个序号
文件 'E:\DLTA_Cngr\DLTA.exe'
>> Status: Caption changed
>> Status: FPU bug patched
>> Status: OutputDebugString patched
>> Hide Driver loading
>> Random Hide driver name = TVT3rA3jTuVj.sys
>> Random Hide driver symlink = \\.\TVT3rA3jTuVj
>> Random Hide driver description = i0efAuTTowo
>> Status: Driver loaded
ID 00000D18 的新进程已创建
00401000 ID 00000918 的主线程已创建
>> Status: PEB patched [on system]
>> Status: KiUserExceptionDispatcher hooked
>> Status: ZwContinue hooked
>> Status: GetTickCount hooked
00400000 模块 E:\DLTA_Cngr\DLTA.exe
5D170000 模块 C:\windows\system32\comctl32.dll
5FDD0000 模块 C:\windows\system32\netapi32.dll
71A10000 模块 C:\windows\system32\WS2HELP.dll
71A20000 模块 C:\windows\system32\ws2_32.dll
76320000 模块 C:\windows\system32\comdlg32.dll
76990000 模块 C:\windows\system32\ole32.dll
770F0000 模块 C:\windows\system32\oleaut32.dll
77BD0000 模块 C:\windows\system32\version.dll
77BE0000 模块 C:\windows\system32\msvcrt.dll
77D10000 模块 C:\windows\system32\user32.dll
77DA0000 模块 C:\windows\system32\advapi32.dll
77E50000 模块 C:\windows\system32\RPCRT4.dll
77EF0000 模块 C:\windows\system32\GDI32.dll
77F40000 模块 C:\windows\system32\SHLWAPI.dll
77FC0000 模块 C:\windows\system32\Secur32.dll
7C800000 模块 C:\windows\system32\kernel32.dll
7C920000 模块 C:\windows\system32\ntdll.dll
7D590000 模块 C:\windows\system32\shell32.dll
隐藏调试器
76300000 模块 C:\windows\system32\IMM32.DLL
62C20000 模块 C:\windows\system32\LPK.DLL
73FA0000 模块 C:\windows\system32\USP10.dll
00401000 程序入口点
>> Status: EP break deleted
IsDebugPresent hidden
IsDebugPresent 已隐藏
Remove-RtlNtGlobalFlags
Remove-ForceFlags
imgbase: 00400000 | ASCII "MZP"
imgbasefromdisk: 00400000 | ASCII "MZP"
tmp1: 004001F8
1stsecsize: 00210000
1stsecbase: 00401000 | DLTA.<模块入口点>
tmp1: 00400360 | ASCII ".adata"
lastsecsize: 00001000
lastsecbase: 00725000
isdll: 00000000
77180000 模块 C:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
71A40000 模块 C:\windows\system32\wsock32.dll
7C80176F 断点位于 kernel32.GetSystemTime
dllimgbase: 00CE0000
tmp4: 00CFDAFA
00CFDAFA 断点位于 00CFDAFA
thunkstop: 00CFD7AE
APIpoint3: 00D07C73
thunkpt: 00D0945A
patch1: 00D091EC
tmp2: 0000003B
thunkdataloc: 00CE0200
tmp2: 00CFD9C8
00400000 卸载 E:\DLTA_Cngr\DLTA.exe
5D170000 卸载 C:\windows\system32\comctl32.dll
5FDD0000 卸载 C:\windows\system32\netapi32.dll
62C20000 卸载 C:\windows\system32\LPK.DLL
71A10000 卸载 C:\windows\system32\WS2HELP.dll
71A20000 卸载 C:\windows\system32\ws2_32.dll
71A40000 卸载 C:\windows\system32\wsock32.dll
73FA0000 卸载 C:\windows\system32\USP10.dll
76300000 卸载 C:\windows\system32\IMM32.DLL
76320000 卸载 C:\windows\system32\comdlg32.dll
76990000 卸载 C:\windows\system32\ole32.dll
770F0000 卸载 C:\windows\system32\oleaut32.dll
77180000 卸载 C:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
77BD0000 卸载 C:\windows\system32\version.dll
77BE0000 卸载 C:\windows\system32\msvcrt.dll
77D10000 卸载 C:\windows\system32\user32.dll
77DA0000 卸载 C:\windows\system32\advapi32.dll
77E50000 卸载 C:\windows\system32\RPCRT4.dll
77EF0000 卸载 C:\windows\system32\GDI32.dll
77F40000 卸载 C:\windows\system32\SHLWAPI.dll
77FC0000 卸载 C:\windows\system32\Secur32.dll
7C800000 卸载 C:\windows\system32\kernel32.dll
7C920000 卸载 C:\windows\system32\ntdll.dll
7D590000 卸载 C:\windows\system32\shell32.dll
进程已终止
正在扫描导入库 '.\LIB\MFC42.Lib'
无法打开导入库
正在扫描导入库 '.\LIB\mfc71.Lib'
无法打开导入库
文件 'E:\DLTA_Cngr\DLTA.exe'
>> Status: OutputDebugString already patched
>> Status: Driver already loaded
ID 000009D8 的新进程已创建
00401000 ID 00000E88 的主线程已创建
>> Status: PEB patched [on system]
>> Status: KiUserExceptionDispatcher hooked
>> Status: ZwContinue hooked
>> Status: GetTickCount hooked
00400000 模块 E:\DLTA_Cngr\DLTA.exe
5D170000 模块 C:\windows\system32\comctl32.dll
5FDD0000 模块 C:\windows\system32\netapi32.dll
71A10000 模块 C:\windows\system32\WS2HELP.dll
71A20000 模块 C:\windows\system32\ws2_32.dll
76320000 模块 C:\windows\system32\comdlg32.dll
76990000 模块 C:\windows\system32\ole32.dll
770F0000 模块 C:\windows\system32\oleaut32.dll
77BD0000 模块 C:\windows\system32\version.dll
77BE0000 模块 C:\windows\system32\msvcrt.dll
77D10000 模块 C:\windows\system32\user32.dll
77DA0000 模块 C:\windows\system32\advapi32.dll
77E50000 模块 C:\windows\system32\RPCRT4.dll
77EF0000 模块 C:\windows\system32\GDI32.dll
77F40000 模块 C:\windows\system32\SHLWAPI.dll
77FC0000 模块 C:\windows\system32\Secur32.dll
7C800000 模块 C:\windows\system32\kernel32.dll
7C920000 模块 C:\windows\system32\ntdll.dll
7D590000 模块 C:\windows\system32\shell32.dll
隐藏调试器
76300000 模块 C:\windows\system32\IMM32.DLL
62C20000 模块 C:\windows\system32\LPK.DLL
73FA0000 模块 C:\windows\system32\USP10.dll
00401000 程序入口点
>> Status: EP break deleted
IsDebugPresent hidden
IsDebugPresent 已隐藏
Remove-RtlNtGlobalFlags
Remove-ForceFlags
--> 锘縜sprotect 鏃х増鑴卞3鑴氭湰
--> 浠呮敮鎸?.0, 1.1(娌¤杩?.1鐨?濮戜笖鎶奵hap708褰撲綔1.1鍚?, 1.2x鐨勶紝涓嶆敮鎸?.30鍙婁互涓婄殑鐗堟湰
77180000 模块 C:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
71A40000 模块 C:\windows\system32\wsock32.dll
7C80176F 断点位于 kernel32.GetSystemTime
00CFDAFA 断点位于 00CFDAFA
00D0945A 断点位于 00D0945A
00CE011A 断点位于 00CE011A
00CFD7AE 断点位于 00CFD7AE
00D07CB2 硬件断点 1 位于 00D07CB2
00D07C73 硬件断点 2 位于 00D07C73
00CFD8CF 断点位于 00CFD8CF
00CFD902 断点位于 00CFD902
00CFD957 断点位于 00CFD957
Delphi 初始化表的地址 0060FE14
00CF69B8 断点位于 00CF69B8
00CF69B8 断点位于 00CF69B8
00CF69B8 断点位于 00CF69B8
0103017E 断点位于 0103017E
00CE002E 断点位于 00CE002E
00CE0077 断点位于 00CE0077
00CE00C5 断点位于 00CE00C5
00CE01B4 断点位于 00CE01B4
00CE0250 断点位于 00CE0250
00CE0034 断点位于 00CE0034
00CEC8AC 断点位于 00CEC8AC
00CF66FF 断点位于 00CF66FF
00CFCE8C 硬件断点 1 位于 00CFCE8C
00ED02EB 断点位于 00ED02EB
00CE07D9 断点位于 00CE07D9
00CE003E 断点位于 00CE003E
00CE00F2 断点位于 00CE00F2
00CE0030 断点位于 00CE0030
IAT 的地址 = 0063B1CC
IAT 的相对地址 = 0023B1CC
IAT 的大小 = 00000834
00CE0079 断点位于 00CE0079
OEP 的地址 = 006105D4
OEP 的相对地址 = 002105D4
用ImportREC可以修复IAT,程序可以正常运行。请教怎么把偷窃的代码修复了!!!!
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)