zoukankan      html  css  js  c++  java
  • 脱壳脚本_手脱壳ASProtect 2.1x SKE -> Alexey Solodovnikov

    脱壳ASProtect 2.1x SKE -> Alexey Solodovnikov

    用脚本。截图

    1:查壳
    1.jpg

    2:od载入
    2.jpg

    3:用脚本
    3.jpg
    然后打开脚本文件Aspr2.XX_unpacker_v1.osc,运行,很快的,不管。 http://download.csdn.net/detail/kfyzk/1461400

    4:提示
    4.jpg点确定

    5:打开运行记录
    5.jpg

    6:找到最下面
    6.jpg

    7:修复刚脱壳的文件
    7.jpg

    8:对脱壳后的文件查壳
    QQ截图20141016194149.jpg
    运行无异常

    09:脱壳完成。

    ===============================================================

    开始,先查下壳 
    普通扫描:ASProtect V2.X Registered -> Alexey Solodovnikov 
    扩展扫描 * Sign.By.fly [Overlay] *注意是有附加数据
    用插件VerA 0.15扫描:Version: ASProtect 2.3 SKE build 03.19 Beta [Extract]
    第一步:脱壳 
    先OD载入吧,使用插件->odbgscript->运行脚本 -> 打开(Aspr2.XX_unpacker_v1.0SC.osc)
    运行脚本过程有『偷窃代码,请查看记录窗口内的IAT数据』点击确定,查看窗口记录,找到如下项

    消息=IAT 的地址 = 006AE1F4
    IAT 的相对地址 = 002AE1F4
    IAT 的大小 = 00000A74
    断点位于 01140079
    OEP 的地址 = 0068B8FC
    OEP 的相对地址 = 0028B8FC
    运行ImportREC,附加脱壳的进程,把od窗口记录里面的 “OEP 的相对地址” 0028B8FC数据填写到oep,
    “IAT 的大小”的数据00000A74填写到“ImportREC的大小”,
    “IAT 的相对地址”的数据002AE1F4填写到RVA,点击获取输入表->修复转存文件->选择dump的文件
    好了,本来想处理附加数据,发现文件可以使用,就没有处理

    ===================================

    ImportREC能很好地支持DLL的输入表的重建。
    首先,用LordPE查看一下dll文件输入表的RVA地址和大小
    二、用在Ollydbg载入DLL文件
    三、打开ImportREC,点击选项将使用来自磁盘的PE部首默认的选项去除选中。这是因为ImportREC需要获得基址计算RVA值,DLL加载的地址不是默认基址时,从磁盘取默认基址计算会导致结果错误。
    四、在ImportREC下拉列表框中选择DLL装载器的进程,此处为loaddll.exe进程。单击选取DLL”按钮,在DLL进程列表中选择重建的DLL进程。
    五、在OEP处,填上DLL入口的RVA1240h,单击“IAT自动搜索按钮获取IAT地址。如果失败,必须手工判断DLLIAT位置和大小,其RVASize填写LordPE查看时的值。
    单击获得输入信息按钮,让其分析IAT结构重建输入表。勾选增加一个新的块,单击修复抓取文件按钮,并选择刚抓取的映像文件,它将创建一个_.dll文件。
    六、用C32Asm打开DLL文件把原来的输入表填充为0
  • 相关阅读:
    JQuery学习之语法
    sysbench
    fio——IO基准测试
    Python待分析的模块
    Taglist
    tcprstat
    SQL注入
    Nytro MegaRaid
    dstat
    Python之hashlib模块
  • 原文地址:https://www.cnblogs.com/onephp/p/5649779.html
Copyright © 2011-2022 走看看