脱壳ASProtect 2.1x SKE -> Alexey Solodovnikov
用脚本。截图
1:查壳
2:od载入
3:用脚本
然后打开脚本文件Aspr2.XX_unpacker_v1.osc,运行,很快的,不管。 http://download.csdn.net/detail/kfyzk/1461400
4:提示
点确定
5:打开运行记录
6:找到最下面
7:修复刚脱壳的文件
8:对脱壳后的文件查壳
运行无异常
09:脱壳完成。
===============================================================
开始,先查下壳
普通扫描:ASProtect V2.X Registered -> Alexey Solodovnikov
扩展扫描 * Sign.By.fly [Overlay] *注意是有附加数据
用插件VerA 0.15扫描:Version: ASProtect 2.3 SKE build 03.19 Beta [Extract]
第一步:脱壳
先OD载入吧,使用插件->odbgscript->运行脚本 -> 打开(Aspr2.XX_unpacker_v1.0SC.osc)
运行脚本过程有『偷窃代码,请查看记录窗口内的IAT数据』点击确定,查看窗口记录,找到如下项
消息=IAT 的地址 = 006AE1F4
IAT 的相对地址 = 002AE1F4
IAT 的大小 = 00000A74
断点位于 01140079
OEP 的地址 = 0068B8FC
OEP 的相对地址 = 0028B8FC
运行ImportREC,附加脱壳的进程,把od窗口记录里面的 “OEP 的相对地址” 0028B8FC数据填写到oep,
“IAT 的大小”的数据00000A74填写到“ImportREC的大小”,
“IAT 的相对地址”的数据002AE1F4填写到RVA,点击获取输入表->修复转存文件->选择dump的文件
好了,本来想处理附加数据,发现文件可以使用,就没有处理
===================================
ImportREC能很好地支持DLL的输入表的重建。
首先,用LordPE查看一下dll文件输入表的RVA地址和大小
二、用在Ollydbg载入DLL文件
三、打开ImportREC,点击选项将“使用来自磁盘的PE部首”默认的选项去除选中。这是因为ImportREC需要获得基址计算RVA值,DLL加载的地址不是默认基址时,从磁盘取默认基址计算会导致结果错误。
四、在ImportREC下拉列表框中选择DLL装载器的进程,此处为loaddll.exe进程。单击“选取DLL”按钮,在DLL进程列表中选择重建的DLL进程。
五、在OEP处,填上DLL入口的RVA值1240h,单击“IAT自动搜索”按钮获取IAT地址。如果失败,必须手工判断DLL的IAT位置和大小,其RVA和Size填写LordPE查看时的值。
单击“获得输入信息”按钮,让其分析IAT结构重建输入表。勾选“增加一个新的块”,单击“修复抓取文件”按钮,并选择刚抓取的映像文件,它将创建一个_.dll文件。
六、用C32Asm打开DLL文件把原来的输入表填充为0。
|