ASProtect 2.X SKE结合三人行和ren22ge的方法脱掉
运行脚本到达00CA031F 55 PUSH EBP ; 4099DF
00D10000
8EF600DD
8A031F
alt+L打开
记录数据, 条目 6
消息=iatstartaddr: 0040A000
记录数据, 条目 5
消息=iatsize: 0000038C
f8单步走得到
00CA07A3 E8 58F80600 CALL 00D10000
00D1019C FFD0 CALL EAX
EAX=00A88A20 vm 2个
00A88A69 FFD0 CALL EAX
EAX=00C70000
00A60000660000vm
00AB00006B0000
00C70000870000Route Check
00CA00008A0000 Stolen Code
00CB00008B0000
00CC00008C0000
00CD00008D0000
00CE00008E0000
00CF00008F0000
00D00000900000
00D10000910000
00D20000920000
00CB0000
脱壳不能运行,载入程序打开alt
+M
下段所补的区段.后运行程序
00A88A20 55 PUSH EBP
00A88A21 8BEC MOV EBP,ESP
00A88A23 83C4 F8 ADD ESP,-8
00A88A26 53 PUSH EBX
00A88A27 56 PUSH ESI
00A88A28 57 PUSH EDI
00A88A61 A1 F037A900 MOV EAX,DWORD PTR DS:
00A88A66 8B40 34 MOV EAX,DWORD PTR DS: ; nop
00A88A69 FFD0 CALL EAX nop
00A88A6B 2945 0C SUB DWORD PTR SS:,EAX
00A88A6E 8B45 0C MOV EAX,DWORD PTR SS:
00A88A71 2B43 18 SUB EAX,DWORD PTR DS:
00A88A66 90 NOP后写
8B 7B 14 A1 F0 37 A9 00 90 90 90 8B 44 24 58 90 83 E8 05
mov eax,dword ptr ss:
sub eax,5
复制保存,程序可以运行
uc群6150405
uc群6690317
QQ群38603947
欢迎交流
QQ群38603947
欢迎交流 有点深度,琢磨中,谢谢楼主的分享 无语..弄个,补区段的吧.. 先OD载入吧,运行脚本,就会自动脱壳了,脱完先修复,先查看OD运行记录,再打开ImportREC,然后对照着填OEP地址,点获取输入表,再点修复转存文件。
这个东西就没有几个新手能看懂 糊涂。糊涂。难得糊涂!!!/:QQ2 天书!!!!!!!!! hmily是猪,神猪。/:001 恩 大家都努力哦
迈进哪怕只是一点也行啊