网站 › ≮ 脱壳求助 ≯ › 脱ASPack 2.12 -> Alexey Solodovnikov [Overlay]遇到的问题

歪歪叉 发表于 2007-11-16 00:37:13

秋之夜 发表于 2007-11-19 11:07:34

不能用脱壳工具试试？？

ttch 发表于 2007-11-19 13:19:52

原帖由 温柔 于 2007-11-2 21:53 发表 https://www.chinapyg.com/images/common/back.gif
把附加数据加到脱壳后的程序里。。。。。。

同意

下个 Overlay 工具，把附加数据加上去试试看

wangwei.hebtu 发表于 2007-11-19 21:20:56

原帖由 gujin162 于 2007-10-12 19:43 发表 https://www.chinapyg.com/images/common/back.gif
修复不能运行
不知道是什么原因
另：
https://www.chinapyg.com/viewthread.php?tid=18848&pid=141508&page=1&extra=page%3D1#pid141508
这个帖子我也看了，可谓“胡说八道”并不是说错，而是他说的不对路啊.....

伙计－首先态度要诚恳！还说人家胡说八道－你看看你的什么壳？ASPack 2.12－人家是ASProtect V2.X，一样吗？脱下来才怪－呵呵


ESP定律直接干掉－

004E3570    55            PUSH EBP
004E3571    8BEC            MOV EBP,ESP
004E3573    B9 04000000   MOV ECX,4
004E3578    6A 00         PUSH 0
004E357A    6A 00         PUSH 0
004E357C    49            DEC ECX
004E357D^ 75 F9         JNZ SHORT QQ棋牌游.004E3578
004E357F    51            PUSH ECX

直接脱掉后－修复，peid查壳为Borland Delphi 6.0 - 7.0，运行之－只是在托盘区看到一闪，那么可能有自效验

[ 本帖最后由 wangwei.hebtu 于 2007-11-19 21:31 编辑 ]

bdpq 发表于 2007-11-20 18:39:17

哎这个壳有那么难吗？
高手能给个去下自校验的过程吗？
我都问了快一个月了，这个是我的入门壳，我一定要弄明白。
我是为了去掉这个程序的弹出网页才学破解的！
现在竟然连壳都没脱了
失败啊

bdpq 发表于 2007-11-24 18:17:01

怎么没人关注啊 ！！！！我的天啊

chadd 发表于 2007-12-5 13:39:33

程序有自校验
00491EE3   .8B55 F8       MOV EDX,DWORD PTR SS:
00491EE6   .8B12          MOV EDX,DWORD PTR DS:
00491EE8   .E8 B32FF7FF   CALL E3570_.00404EA0
00491EED   .75 12         JNZ SHORT E3570_.00491F01 ;自校验跳转
00491EEF   .B8 E0930400   MOV EAX,493E0

将其修改为
00491EE0   > \8B45 E4       MOV EAX,DWORD PTR SS:
00491EE3      8B55 F8       MOV EDX,DWORD PTR SS:
00491EE6      8B12          MOV EDX,DWORD PTR DS:
00491EE8   .E8 B32FF7FF   CALL E3570_.00404EA0
00491EED      90            NOP
00491EEE      90            NOP
00491EEF   .B8 E0930400   MOV EAX,493E0
程序可正常运行

toufyqin 发表于 2007-12-15 20:21:09

楼上的能否写个去自校验的教程.

bdpq 发表于 2007-12-24 18:42:35

谢谢chadd，请写个教程吧 文本的也行啊。
关注中……

剑客之道 发表于 2007-12-28 15:29:13

我的方法（仅供参考）

00AF1001 >60            PUSHAD                     ;F8单步
00AF1002    E8 03000000   CALL QQ棋牌游.00AF100A       ；这里向右看寄存器窗口ESP变红12FFA4
00AF1007- E9 EB045D45   JMP 460C14F7                  在下面命令行里下HR 12FFA4命令后回                                                            车
00AF100C    55            PUSH EBP
00AF100D    C3            RETN
00AF100E    E8 01000000   CALL QQ棋牌游.00AF1014
00AF1013    EB 5D         JMP SHORT QQ棋牌游.00AF1072

然后F9运行程序来到这里

00AF13B0   /75 08         JNZ SHORT QQ棋牌游.00AF13BA
00AF13B2   |B8 01000000   MOV EAX,1
00AF13B7   |C2 0C00         RETN 0C
00AF13BA   \68 70354E00   PUSH QQ棋牌游.004E3570
00AF13BF    C3            RETN
00AF13C0    8B85 26040000   MOV EAX,DWORD PTR SS:
00AF13C6    8D8D 3B040000   LEA ECX,DWORD PTR SS:
00AF13CC    51            PUSH ECX
00AF13CD    50            PUSH EAX
00AF13CE    FF95 490F0000   CALL DWORD PTR SS:
00AF13D4    8985 55050000   MOV DWORD PTR SS:,EAX
00AF13DA    8D85 47040000   LEA EAX,DWORD PTR SS:
00AF13E0    50            PUSH EAX
00AF13E1    FF95 510F0000   CALL DWORD PTR SS:

F8单步3次，即可来到OEP了
004E3570    55            PUSH EBP               ；在这里脱壳吧！
004E3571    8BEC            MOV EBP,ESP
004E3573    B9 04000000   MOV ECX,4
004E3578    6A 00         PUSH 0
004E357A    6A 00         PUSH 0
004E357C    49            DEC ECX
004E357D^ 75 F9         JNZ SHORT QQ棋牌游.004E3578
原来程序是用Borland Delphi 6.0 - 7.0写的
我用这种方法脱了好多壳，挺好用的
不需要修复的

查看完整版本: 脱ASPack 2.12 -> Alexey Solodovnikov [Overlay]遇到的问题