~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~现在我们停下来看一看堆栈,代码:--------------------------------------------------------------------------------0012FF5C 00C6392C0012FF60 00400000 NOTEPADy.004000000012FF64 F370A6630012FF68 0012FFA4 //注意这个值。0012FF6C 00C40000-------------------------------------------------------------------------------- 我们在0012FF68处下硬件访问断点,按F9运行,中断在这里。~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
阿里云助力开发者!2核2G 3M带宽不限流量!6.18限时价,开 发者可享99元/年,续费同价!
F8后程序将跳到这里,到了这里程序代码已经解开,可以用LordPE纠正一下文件大小后完整Dump下程序。接着我们再进行区域脱壳:00C60000,大小=00008000,也就是脱出上面的部分壳处理代码段。至此我们已经将ASProtect 1.23RC4壳脱出来,后面的不管他了(其实是不知接着要怎样干下去)^O^。
现在我们来“组装”一下dumped.exe。先用LordPE打开dumped.exe,然后从磁盘载入刚才区域脱壳的Region00C60000-00C68000.dmp区段,修改其Voffset=00860000(00C60000-00400000=00860000),只保留LordPE的“验证PE”选项,最后重建PE。Dump完成!^O^,