首页
社区
课程
招聘
[旧帖] [求助]ASProtect 1.2x - 1.3x怎样修补被偷窃的代码 0.00雪花
发表于: 2009-5-9 14:58 8419

[旧帖] [求助]ASProtect 1.2x - 1.3x怎样修补被偷窃的代码 0.00雪花

2009-5-9 14:58
8419
ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov
用了VolX大侠的Aspr2.XX_unpacker_v1.0SC.osc脚本,提示没有偷窃代码。
下面是脚本的运行记录:
00401000   程序入口点
             Remove-RtlNtGlobalFlags
             Remove-ForceFlags
77180000   模块 C:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
77181000     文件头中的代码大小是 00090C00, 已对区段扩容: '.text'
71A40000   模块 C:\windows\system32\wsock32.dll
71A41000     文件头中的代码大小是 00002400, 已对区段扩容: '.text'
7C80176F   断点位于 kernel32.GetSystemTime
00CFDAFA   断点位于 00CFDAFA
00D0945A   断点位于 00D0945A
00CE011A   断点位于 00CE011A
00CFD7AE   断点位于 00CFD7AE
00D07CB2   硬件断点 1 位于 00D07CB2
00D07C73   硬件断点 2 位于 00D07C73
00CFD8CF   断点位于 00CFD8CF
00CFD902   断点位于 00CFD902
00CFD957   断点位于 00CFD957
           Delphi 初始化表的地址 0060FE14
00CF69B8   断点位于 00CF69B8
00CF69B8   断点位于 00CF69B8
00CF69B8   断点位于 00CF69B8
0103017E   断点位于 0103017E
00CE002E   断点位于 00CE002E
00CE0062   断点位于 00CE0062
00CE00C5   断点位于 00CE00C5
00CE01B4   断点位于 00CE01B4
00CE0156   断点位于 00CE0156
00CE0034   断点位于 00CE0034
00CEC8AC   断点位于 00CEC8AC
00CF66FF   断点位于 00CF66FF
00CFCE8C   硬件断点 1 位于 00CFCE8C
00ED02EC   条件暂停: eip < ED0000
           IAT 的地址 = 0063B1CC
           IAT 的相对地址 = 0023B1CC
           IAT 的大小 = 00000834
00CE0042   断点位于 00CE0042
           OEP 的地址 = 00ED02EC
           OEP 的相对地址 = 00AD02EC

到此结束,打开Import Reconstructor 1.6,选择OD调试的程序,输入上面的OEP相对地址,选择IAT自动搜索,提示:无效的OEP,它与内存中的程序不匹配。
PEID获取的OEP是0060EB04,用0020eb04也不行。请求指点,最好详细点。感谢!!!

要脱壳的软件地址:http://www.rayfile.com/files/1029199e-3cbe-11de-93b2-0019d11a795f/

我已按照2楼的方法操作过了,修补过后,程序不能运行,怎么回事? peid查不是有效的PE文件。

20090509下午18:00
用Aspr2.XX_unpacker_v1.14aSC.osc脚本,提示有偷窃代码
下面是记录:
Log data
地址       消息
           OllyDbg v1.10
             点阵字体 'MS Sans Serif' 已被替换为 '宋体'
           +BP-OLLY - Ver 1.0 by RedH@wK
           [CracksLatinos] - [aRC] - [RVLCN]
           http://redhawk.hispadominio.com
           http://www.crackslatinos.hispadominio.net/
           http://groups.google.com/group/arc3000
           http://www.revolucion7000.com/
           Nonameo's ApiBreak
             Copyright (C) 2005 Nonameo
           API断点设置工具 - Ver 1.2 by 蓝色光芒
           Asm2Clipboard PlugIn v0.1
             Written by FaTmiKE 2oo4
             I used code snippets from ExtraCopy PlugIn v1.0 by Regon
             ...so thanks to Regon for his great job!
           Bookmarks sample plugin v1.06 (plugin demo)
             Copyright (C) 2001, 2002 Oleh Yuschuk
           CleanupEx v1.12.108  by Gigapede
           CommandBar v3.00.108
             Originary Written by Oleh Yuschuk  Modified by Gigapede  Contributors:TBD Wayne psyCK0 mfn

           GODUP ver 1.2 by godfather+ - Delphi edition

           Hide Caption v1.00  by Gigapede
           隐藏调试器 v1.2.3f
             Copyright (c) 2005 by Asterix
           HideOD, www.pediy.com
           IsDebugPresent plugin v1.4 (SV 2oo3)
           插件 IsDebugPresent v1.4 (SV 2003)-|-ExtraHide (TeST)
           Labelmaster 插件 v0.1
             版权所有 (C) 2004 JoeStewart
           LoadMap version 0.1 by lgx/iPB loaded
           LoadMapEx v1.1 by forever[RCT]
           MemoryManage beta
             Copyright (C) 2004 pLayAr
             有任何建议请发邮件至 [email]playar0709@21cn.net[/email]
           ODbgScript v1.65.2 chinese version by hnhuqiong
             http://bbs.pediy.com or http://www.unpack.cn
           OllyDump v3.00.110  by Gigapede
           OllyFlow 插件 v0.71
             版权所有 (C) 2005 henryouly@pediy
           OllyMachine v0.20
             Written by Luo Cong
             Compiled on Dec  7 2004 14:32:15
           OllyScript v0.92
             Written by SHaG

           PhantOm plugin 1.20
              by Hellsp@wn & Archer
           Ultra String Reference v0.11
             Written by Luo Cong
             Compiled on Sep 20 2005 15:33:30
           WatchMan v1.00  by Gigapede
                        数据格式转换 plugin v1.1
           该插件可以将内存里的二进制数据转换为相应的编译语言数据格式
                   Copyright (C) 2006 by zhanshen[DFCG][RCT]
           正在扫描导入库 '.\LIB\MFC42.Lib'
             已解析出 6384 个序号
           正在扫描导入库 '.\LIB\mfc71.Lib'
             已解析出 6442 个序号

           文件 'E:\DLTA_Cngr\DLTA.exe'
              >> Status: Caption changed
              >> Status: FPU bug patched
              >> Status: OutputDebugString patched
              >> Hide Driver loading
                 >> Random Hide driver name = TVT3rA3jTuVj.sys
                 >> Random Hide driver symlink = \\.\TVT3rA3jTuVj
                 >> Random Hide driver description = i0efAuTTowo
              >> Status: Driver loaded
           ID 00000D18 的新进程已创建
00401000   ID 00000918 的主线程已创建
              >> Status: PEB patched [on system]
              >> Status: KiUserExceptionDispatcher hooked
              >> Status: ZwContinue hooked
              >> Status: GetTickCount hooked
00400000   模块 E:\DLTA_Cngr\DLTA.exe
5D170000   模块 C:\windows\system32\comctl32.dll
5FDD0000   模块 C:\windows\system32\netapi32.dll
71A10000   模块 C:\windows\system32\WS2HELP.dll
71A20000   模块 C:\windows\system32\ws2_32.dll
76320000   模块 C:\windows\system32\comdlg32.dll
76990000   模块 C:\windows\system32\ole32.dll
770F0000   模块 C:\windows\system32\oleaut32.dll
77BD0000   模块 C:\windows\system32\version.dll
77BE0000   模块 C:\windows\system32\msvcrt.dll
77D10000   模块 C:\windows\system32\user32.dll
77DA0000   模块 C:\windows\system32\advapi32.dll
77E50000   模块 C:\windows\system32\RPCRT4.dll
77EF0000   模块 C:\windows\system32\GDI32.dll
77F40000   模块 C:\windows\system32\SHLWAPI.dll
77FC0000   模块 C:\windows\system32\Secur32.dll
7C800000   模块 C:\windows\system32\kernel32.dll
7C920000   模块 C:\windows\system32\ntdll.dll
7D590000   模块 C:\windows\system32\shell32.dll
           隐藏调试器
76300000   模块 C:\windows\system32\IMM32.DLL
62C20000   模块 C:\windows\system32\LPK.DLL
73FA0000   模块 C:\windows\system32\USP10.dll
00401000   程序入口点
              >> Status: EP break deleted
             IsDebugPresent hidden
             IsDebugPresent 已隐藏
             Remove-RtlNtGlobalFlags
             Remove-ForceFlags
           imgbase: 00400000 | ASCII "MZP"
           imgbasefromdisk: 00400000 | ASCII "MZP"
           tmp1: 004001F8
           1stsecsize: 00210000
           1stsecbase: 00401000 | DLTA.<模块入口点>
           tmp1: 00400360 | ASCII ".adata"
           lastsecsize: 00001000
           lastsecbase: 00725000
           isdll: 00000000
77180000   模块 C:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
71A40000   模块 C:\windows\system32\wsock32.dll
7C80176F   断点位于 kernel32.GetSystemTime
           dllimgbase: 00CE0000
           tmp4: 00CFDAFA
00CFDAFA   断点位于 00CFDAFA
           thunkstop: 00CFD7AE
           APIpoint3: 00D07C73
           thunkpt: 00D0945A
           patch1: 00D091EC
           tmp2: 0000003B
           thunkdataloc: 00CE0200
           tmp2: 00CFD9C8
00400000   卸载 E:\DLTA_Cngr\DLTA.exe
5D170000   卸载 C:\windows\system32\comctl32.dll
5FDD0000   卸载 C:\windows\system32\netapi32.dll
62C20000   卸载 C:\windows\system32\LPK.DLL
71A10000   卸载 C:\windows\system32\WS2HELP.dll
71A20000   卸载 C:\windows\system32\ws2_32.dll
71A40000   卸载 C:\windows\system32\wsock32.dll
73FA0000   卸载 C:\windows\system32\USP10.dll
76300000   卸载 C:\windows\system32\IMM32.DLL
76320000   卸载 C:\windows\system32\comdlg32.dll
76990000   卸载 C:\windows\system32\ole32.dll
770F0000   卸载 C:\windows\system32\oleaut32.dll
77180000   卸载 C:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
77BD0000   卸载 C:\windows\system32\version.dll
77BE0000   卸载 C:\windows\system32\msvcrt.dll
77D10000   卸载 C:\windows\system32\user32.dll
77DA0000   卸载 C:\windows\system32\advapi32.dll
77E50000   卸载 C:\windows\system32\RPCRT4.dll
77EF0000   卸载 C:\windows\system32\GDI32.dll
77F40000   卸载 C:\windows\system32\SHLWAPI.dll
77FC0000   卸载 C:\windows\system32\Secur32.dll
7C800000   卸载 C:\windows\system32\kernel32.dll
7C920000   卸载 C:\windows\system32\ntdll.dll
7D590000   卸载 C:\windows\system32\shell32.dll
           进程已终止
           正在扫描导入库 '.\LIB\MFC42.Lib'
             无法打开导入库
           正在扫描导入库 '.\LIB\mfc71.Lib'
             无法打开导入库

           文件 'E:\DLTA_Cngr\DLTA.exe'
              >> Status: OutputDebugString already patched
              >> Status: Driver already loaded
           ID 000009D8 的新进程已创建
00401000   ID 00000E88 的主线程已创建
              >> Status: PEB patched [on system]
              >> Status: KiUserExceptionDispatcher hooked
              >> Status: ZwContinue hooked
              >> Status: GetTickCount hooked
00400000   模块 E:\DLTA_Cngr\DLTA.exe
5D170000   模块 C:\windows\system32\comctl32.dll
5FDD0000   模块 C:\windows\system32\netapi32.dll
71A10000   模块 C:\windows\system32\WS2HELP.dll
71A20000   模块 C:\windows\system32\ws2_32.dll
76320000   模块 C:\windows\system32\comdlg32.dll
76990000   模块 C:\windows\system32\ole32.dll
770F0000   模块 C:\windows\system32\oleaut32.dll
77BD0000   模块 C:\windows\system32\version.dll
77BE0000   模块 C:\windows\system32\msvcrt.dll
77D10000   模块 C:\windows\system32\user32.dll
77DA0000   模块 C:\windows\system32\advapi32.dll
77E50000   模块 C:\windows\system32\RPCRT4.dll
77EF0000   模块 C:\windows\system32\GDI32.dll
77F40000   模块 C:\windows\system32\SHLWAPI.dll
77FC0000   模块 C:\windows\system32\Secur32.dll
7C800000   模块 C:\windows\system32\kernel32.dll
7C920000   模块 C:\windows\system32\ntdll.dll
7D590000   模块 C:\windows\system32\shell32.dll
           隐藏调试器
76300000   模块 C:\windows\system32\IMM32.DLL
62C20000   模块 C:\windows\system32\LPK.DLL
73FA0000   模块 C:\windows\system32\USP10.dll
00401000   程序入口点
              >> Status: EP break deleted
             IsDebugPresent hidden
             IsDebugPresent 已隐藏
             Remove-RtlNtGlobalFlags
             Remove-ForceFlags
           --> 锘縜sprotect 鏃х増鑴卞3鑴氭湰
           --> 浠呮敮鎸?.0, 1.1(娌¤杩?.1鐨?濮戜笖鎶奵hap708褰撲綔1.1鍚?, 1.2x鐨勶紝涓嶆敮鎸?.30鍙婁互涓婄殑鐗堟湰
77180000   模块 C:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
71A40000   模块 C:\windows\system32\wsock32.dll
7C80176F   断点位于 kernel32.GetSystemTime
00CFDAFA   断点位于 00CFDAFA
00D0945A   断点位于 00D0945A
00CE011A   断点位于 00CE011A
00CFD7AE   断点位于 00CFD7AE
00D07CB2   硬件断点 1 位于 00D07CB2
00D07C73   硬件断点 2 位于 00D07C73
00CFD8CF   断点位于 00CFD8CF
00CFD902   断点位于 00CFD902
00CFD957   断点位于 00CFD957
           Delphi 初始化表的地址 0060FE14
00CF69B8   断点位于 00CF69B8
00CF69B8   断点位于 00CF69B8
00CF69B8   断点位于 00CF69B8
0103017E   断点位于 0103017E
00CE002E   断点位于 00CE002E
00CE0077   断点位于 00CE0077
00CE00C5   断点位于 00CE00C5
00CE01B4   断点位于 00CE01B4
00CE0250   断点位于 00CE0250
00CE0034   断点位于 00CE0034
00CEC8AC   断点位于 00CEC8AC
00CF66FF   断点位于 00CF66FF
00CFCE8C   硬件断点 1 位于 00CFCE8C
00ED02EB   断点位于 00ED02EB
00CE07D9   断点位于 00CE07D9
00CE003E   断点位于 00CE003E
00CE00F2   断点位于 00CE00F2
00CE0030   断点位于 00CE0030
           IAT 的地址 = 0063B1CC
           IAT 的相对地址 = 0023B1CC
           IAT 的大小 = 00000834
00CE0079   断点位于 00CE0079
           OEP 的地址 = 006105D4
           OEP 的相对地址 = 002105D4
用ImportREC可以修复IAT,程序可以正常运行。请教怎么把偷窃的代码修复了!!!!

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (11)
雪    币: 427
活跃值: (65)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
2
不是自动搜索!

第一个空输入上面的OEP相对地址:00AD02EC
第二个空输入IAT 的相对地址:0023B1CC
第三个空输入IAT 的大小:00000834
然后点 获取出入表
2009-5-9 15:33
0
雪    币: 290
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
IAT 的相对地址 = 0023B1CC
IAT 的大小 = 00000834


不都已经给你了吗
2009-5-9 17:09
0
雪    币: 331
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
谢谢楼上2位。我已按照楼上的方法操作过了,修补过后,程序不能运行,怎么回事?
2009-5-10 01:16
0
雪    币: 623
活跃值: (10)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
5
调试一下 看看是异常退出还是自校验退出的
2009-5-10 01:28
0
雪    币: 331
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
是异常退出。OD提示:访问违例,访问[7CC0AE40]。另外程序错误提示:应用程序正常初始化(0xc0000005)失败。
2009-5-10 16:44
0
雪    币: 427
活跃值: (65)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
7
软件不是正式版,正式版下载地址:
http://www.fhcpsoft.net/User/

一组合法用户名和注册码格式:
DABCDE1
12345-67890-12345678901

别破了,没用,作者忽悠人的。
2009-5-10 16:44
0
雪    币: 100
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
这种情况就是手动查找IAT就可以了````既然已经解密了,那手动找一下就ok ```
2009-5-10 16:56
0
雪    币: 331
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
楼上2位高手的详细说下!!!
2009-5-10 17:02
0
雪    币: 170
活跃值: (45)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
10
是不是你在用补丁前没有隐藏OD啊,先隐藏下再试试
2009-5-10 17:05
0
雪    币: 331
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
可以修复IAT了,请教怎么处理偷窃的代码/
2009-5-10 18:30
0
雪    币: 331
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
[QUOTE=rxzcums;621369]软件不是正式版,正式版下载地址:
http://www.fhcpsoft.net/User/

一组合法用户名和注册码格式:
DABCDE1
12345-67890-12345678901

别破了,没用,作者忽悠人的。[/QUOTE]

没修复偷窃的代码,直接OD调试,可以爆破,可惜比你还是差多了,注册码没追出来。
怎么修补偷窃代码呢?请指点!
2009-5-10 20:08
0
游客
登录 | 注册 方可回帖
返回
//