ASProtect1.2脱壳+修复+动画
【文章标题】: ASProtect1.2 脱壳+修复【文章作者】: 追杀
【作者邮箱】: [email protected]
【作者QQ号】: 46345049
【软件名称】: ABC Amber Excel Converter
【软件大小】: 1.35MB
【下载地址】: http://gsts.onlinedown.net/down/abcexcel.zip
【加壳方式】: ASProtect1.2
【保护方式】: ASProtect1.2
【编写语言】: DELPHI
【使用工具】: PEID OD LordPE ImportREC
【操作平台】: WinXP2
【软件介绍】: ABC Amber Excel Converter是一个可以帮助你快速方
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
OD设置忽略除内存访问的所有异常
OD载入停在这里
00401000 >68 01C07000 PUSH abcexcel.0070C001
00401005 C3 RETN
010D009D 3100 XOR DWORD PTR DS:,EAX 第一次异常
010D009F EB 01 JMP SHORT 010D00A2
010CFCF8 3100 XOR DWORD PTR DS:,EAX 第二次异常
010CFCFA EB 01 JMP SHORT 010CFCFD
010CFD3B 3100 XOR DWORD PTR DS:,EAX 第三次异常
010CFD3D 64:8F05 0000000>POP DWORD PTR FS:
010CFD44 58 POP EAX
010CFD45 E8 4E29FFFF CALL 010C2698
010CED49 3100 XOR DWORD PTR DS:,EAX 第四次异常
010CED4B EB 01 JMP SHORT 010CED4E
010D0260 3100 XOR DWORD PTR DS:,EAX 第十七次异常
010D0262 EB 01 JMP SHORT 010D0265
堆栈显示
0012D738 0012D740指向下一个 SEH 记录的指针
0012D73C 010D0217SE 处理器
0012D740 0012FFE0指向下一个 SEH 记录的指针
0012D744 010D0A6FSE 处理器
0012D748 0012FF90
0012D74C 010C0000
0012D750 010A0000
0012D754 010D0038
0012D758 00000000
0012D75C 010E737CASCII "G44ozAAQ6n0=" 硬盘指纹
010EA2F2 FE01 INC BYTE PTR DS: 最后一次异常
010EA2F4^ EB E8 JMP SHORT 010EA2DE
现在打开内存竞相在
Memory map, 项目 23
地址=00401000 代码处下断F2 SHIFT+F9
大小=0026A000 (2531328.)
属主=abcexcel 00400000
区段=
包含=代码
类型=映像 01001002
访问=R
初始访问=RWE
OEP
00669F58 55 PUSH EBP
00669F59 8BEC MOV EBP,ESP
00669F5B 81C4 E8FEFFFF ADD ESP,-118
00669F61 53 PUSH EBX
00669F62 56 PUSH ESI
00669F63 33C0 XOR EAX,EAX
00669F65 8945 E8 MOV DWORD PTR SS:,EAX
00669F68 8945 F0 MOV DWORD PTR SS:,EAX
00669F6B 8945 EC MOV DWORD PTR SS:,EAX
00669F6E B8 D8976600 MOV EAX,abcexcel.006697D8
LordPE 脱壳,Import Recon 修复文件
OEP:269F58 RVA:002781DC SIZE:000009C0
有390个无效指针,跟踪反汇编一级
还有两个:我们用自带插件修复全部有效
程序还是不能运行的现在来修复
这时不要把原来哪个未脱壳的哪个OD关掉了。
我们现在来看看哪里出错。出错的原因
0066A015|.FF15 644F6700 CALL DWORD PTR DS: ;dumped_.00669768
0066A01B|.A1 5C586700 MOV EAX,DWORD PTR DS:
找到未脱壳的文件来到这个地址(0066A015) 跟进去是这样 右键跟随到内存地址
010CC784 833D A8350D01 0>CMP DWORD PTR DS:,0
010CC78B 74 06 JE SHORT 010CC793
00669768 这个是内存值,返回脱脱后的OD同样方法。
把值修改成未脱壳文件的值右击复制可值行文件保存
看看可以运行了呵呵OK搞定了^_^
010D35A800669768abcexcel.00669768 这个就是出错地址
--------------------------------------------------------------------------------
【版权声明】: 本文原创于PYG技术论坛, 转载请注明作者并保持文章的完整, 谢谢!
2007年09月29日 20:10:25
[ 本帖最后由 glts 于 2007-9-30 11:46 编辑 ] 学了...想下动画,但PYB又不多..哈哈。就看文章就行了~~~ 下载看了才知道,这个早就有人做过了,真是浪费我的PYG币啊,汗 原帖由 bhcjl 于 2007-9-30 07:31 发表 https://www.chinapyg.com/images/common/back.gif
下载看了才知道,这个早就有人做过了,真是浪费我的PYG币啊,汗
请问楼主为什么浪费你的PYB还下载呢。怎么不知看文字教程呢!~~~!!!!!! 原帖由 bhcjl 于 2007-9-30 07:31 发表 https://www.chinapyg.com/images/common/back.gif
下载看了才知道,这个早就有人做过了,真是浪费我的PYG币啊,汗
俺没有币也是看看得了。--女警官好PP哦/:018 已重新打包方便下载
[ 本帖最后由 glts 于 2007-9-30 13:05 编辑 ] 原帖由 glts 于 2007-9-30 11:47 发表 https://www.chinapyg.com/images/common/back.gif
重新打包方便下载
我只能上传哪么大个文件,再重新打包也如此啊,之前那个网络硬盘关掉了/:10 支持原创动画....../:good 好复杂啊
看的不太懂 下载1 2 有困难