enjon 发表于 2007-9-29 20:17:57

ASProtect1.2脱壳+修复+动画

【文章标题】: ASProtect1.2 脱壳+修复
【文章作者】: 追杀
【作者邮箱】: [email protected]
【作者QQ号】: 46345049
【软件名称】: ABC Amber Excel Converter
【软件大小】: 1.35MB
【下载地址】: http://gsts.onlinedown.net/down/abcexcel.zip
【加壳方式】: ASProtect1.2
【保护方式】: ASProtect1.2
【编写语言】: DELPHI
【使用工具】: PEID OD LordPE ImportREC
【操作平台】: WinXP2
【软件介绍】: ABC Amber Excel Converter是一个可以帮助你快速方
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
OD设置忽略除内存访问的所有异常
OD载入停在这里
00401000 >68 01C07000   PUSH abcexcel.0070C001
00401005    C3            RETN

010D009D    3100            XOR DWORD PTR DS:,EAX         第一次异常
010D009F    EB 01         JMP SHORT 010D00A2


010CFCF8    3100            XOR DWORD PTR DS:,EAX         第二次异常
010CFCFA    EB 01         JMP SHORT 010CFCFD

010CFD3B    3100            XOR DWORD PTR DS:,EAX         第三次异常
010CFD3D    64:8F05 0000000>POP DWORD PTR FS:
010CFD44    58            POP EAX
010CFD45    E8 4E29FFFF   CALL 010C2698

010CED49    3100            XOR DWORD PTR DS:,EAX         第四次异常
010CED4B    EB 01         JMP SHORT 010CED4E

010D0260    3100            XOR DWORD PTR DS:,EAX         第十七次异常
010D0262    EB 01         JMP SHORT 010D0265
堆栈显示
0012D738   0012D740指向下一个 SEH 记录的指针
0012D73C   010D0217SE 处理器
0012D740   0012FFE0指向下一个 SEH 记录的指针
0012D744   010D0A6FSE 处理器
0012D748   0012FF90
0012D74C   010C0000
0012D750   010A0000
0012D754   010D0038
0012D758   00000000
0012D75C   010E737CASCII "G44ozAAQ6n0="                  硬盘指纹

010EA2F2    FE01            INC BYTE PTR DS:            最后一次异常
010EA2F4^ EB E8         JMP SHORT 010EA2DE


现在打开内存竞相在
Memory map, 项目 23
   地址=00401000                     代码处下断F2 SHIFT+F9
   大小=0026A000 (2531328.)
   属主=abcexcel 00400000
   区段=
   包含=代码
   类型=映像 01001002
   访问=R
   初始访问=RWE

OEP

00669F58    55            PUSH EBP
00669F59    8BEC            MOV EBP,ESP
00669F5B    81C4 E8FEFFFF   ADD ESP,-118
00669F61    53            PUSH EBX
00669F62    56            PUSH ESI
00669F63    33C0            XOR EAX,EAX
00669F65    8945 E8         MOV DWORD PTR SS:,EAX
00669F68    8945 F0         MOV DWORD PTR SS:,EAX
00669F6B    8945 EC         MOV DWORD PTR SS:,EAX
00669F6E    B8 D8976600   MOV EAX,abcexcel.006697D8

LordPE 脱壳,Import Recon 修复文件

OEP:269F58 RVA:002781DC SIZE:000009C0

有390个无效指针,跟踪反汇编一级
还有两个:我们用自带插件修复全部有效

程序还是不能运行的现在来修复

这时不要把原来哪个未脱壳的哪个OD关掉了。
我们现在来看看哪里出错。出错的原因
0066A015|.FF15 644F6700 CALL DWORD PTR DS:               ;dumped_.00669768
0066A01B|.A1 5C586700   MOV EAX,DWORD PTR DS:

找到未脱壳的文件来到这个地址(0066A015) 跟进去是这样 右键跟随到内存地址

010CC784    833D A8350D01 0>CMP DWORD PTR DS:,0
010CC78B    74 06         JE SHORT 010CC793

00669768 这个是内存值,返回脱脱后的OD同样方法。
把值修改成未脱壳文件的值右击复制可值行文件保存
看看可以运行了呵呵OK搞定了^_^
010D35A800669768abcexcel.00669768 这个就是出错地址



--------------------------------------------------------------------------------
【版权声明】: 本文原创于PYG技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

                                                       2007年09月29日 20:10:25

[ 本帖最后由 glts 于 2007-9-30 11:46 编辑 ]

zzage 发表于 2007-9-29 23:27:32

学了...想下动画,但PYB又不多..哈哈。就看文章就行了~~~

bhcjl 发表于 2007-9-30 07:31:20

下载看了才知道,这个早就有人做过了,真是浪费我的PYG币啊,汗

enjon 发表于 2007-9-30 09:55:43

原帖由 bhcjl 于 2007-9-30 07:31 发表 https://www.chinapyg.com/images/common/back.gif
下载看了才知道,这个早就有人做过了,真是浪费我的PYG币啊,汗
请问楼主为什么浪费你的PYB还下载呢。怎么不知看文字教程呢!~~~!!!!!!

凡夫俗子 发表于 2007-9-30 10:15:51

原帖由 bhcjl 于 2007-9-30 07:31 发表 https://www.chinapyg.com/images/common/back.gif
下载看了才知道,这个早就有人做过了,真是浪费我的PYG币啊,汗
俺没有币也是看看得了。--女警官好PP哦/:018

glts 发表于 2007-9-30 11:47:25

已重新打包方便下载

[ 本帖最后由 glts 于 2007-9-30 13:05 编辑 ]

enjon 发表于 2007-9-30 11:52:35

原帖由 glts 于 2007-9-30 11:47 发表 https://www.chinapyg.com/images/common/back.gif
重新打包方便下载
我只能上传哪么大个文件,再重新打包也如此啊,之前那个网络硬盘关掉了/:10

菜儿 发表于 2007-9-30 12:24:03

支持原创动画....../:good

zhaoyafei19 发表于 2007-9-30 20:21:38

好复杂啊
看的不太懂

yyww 发表于 2007-9-30 21:41:54

下载1 2 有困难
页: [1] 2 3
查看完整版本: ASProtect1.2脱壳+修复+动画