ID Application Protector 1.2 带试用限制脱壳脚本
ID Application Protector 1.2 带试用限制脱壳脚本学习脚本编写实战篇,
/*
Script written by~icy~学习班
Script : ID Application Protector 1.2_unpacker
Date : 2007-04-16
Test Environment: OllyDbg 1.1, ODBGScript 1.51, Winxp Win2003
*/
var addr
find eip,#743789EA#
go $RESULT
repl eip, #743789EA#, #753789EA#,1F
find eip,#0F858500000089E9#
go $RESULT
repl eip, #0F858500000089E9#, #0F848500000089E9#,1F
find eip,#C390EB01#
go $RESULT
STO
cmt eip,"Script finished! You are on the OEP!"
eval "Please Dump & fix IAT!"
msg $RESULT
ret 廖兄刚搞的那个壳~ 附把他的破解文章一并发过来~~ 感谢 a__p 的脚本~~
带试用限制脱壳脚本? 带试用限制是?
download :http://www.idsecuritysuite.com/files/idapplicationprotectorsetup.exe
程序保护方式:
ASProtect 2.1x SKE -> Alexey Solodovnikov
使用Volx大侠的Aspr Unpacker 1.0脚本,顺利脱壳,按照记录中的 IAT 参数修复输入表,全部有效。
OEP: 000A319C IATRVA: 000A817C IATSize: 0000071C
修复后加上附加数据(注意:本人未加附加数据,程序也能正常运行,具体不知道附加数据在此的作用。)
在此脱壳完毕。
提示:如果用od抓取的文件修复后无法运行,请使用pe编辑工具更正pe头大小为1000,便可正常。
爆破关键点:
方法一:
004A26FA |> \8B86 C0030000 mov eax,
004A2700 |. E8 5FC8FFFF call iii_.0049EF64 ;此处关键调用,可以直接修改为mov a1,1
004A2705 |. 3C 01 cmp al, 1
004A2707 |. 0F85 82000000 jnz iii_.004A278F
004A270D |. 84DB test bl, bl
004A270F |. 75 7E jnz short iii_.004A278F
004A2711 |. 33D2 xor edx, edx
004A2713 |. 8B86 18040000 mov eax,
004A2719 |. E8 32A6FAFF call iii_.0044CD50
即为:
004A26FA |> \8B86 C0030000 mov eax,
004A2700 B0 01 mov al, 1
004A2702 90 nop
004A2703 90 nop
004A2704 90 nop
004A2705 |. 3C 01 cmp al, 1
004A2707 |. 0F85 82000000 jnz iii_.004A278F
004A270D |. 84DB test bl, bl
004A270F |. 75 7E jnz short iii_.004A278F
004A2711 |. 33D2 xor edx, edx
004A2713 |. 8B86 18040000 mov eax,
004A2719 |. E8 32A6FAFF call iii_.0044CD50
方法二:
004A26FA 8B86 C0030000 mov eax,
004A2700 E8 5FC8FFFF call iii_.0049EF64
004A2705 3C 01 cmp al, 1
004A2707 0F85 82000000 jnz iii_.004A278F ;此处关键跳转,nop掉便可。
004A270D 84DB test bl, bl
004A270F |. 75 7E jnz short iii_.004A278F
当然也可以跟入 004A2700 E8 5FC8FFFF call iii_.0049EF64 进行修改。
附件含输入表目录树文件,脱壳后未破解文件(为了给大家方便连手),脱壳后已破解文件。 "带试用限制"的意思就是用ID Application Protector 1.2 加壳的时候有个选项,把“试用限制”打勾,启动的时候就有NAG提示的。这个脚本支持勾选全部选项脱壳
页:
[1]