网站 › ≮ 脱壳求助 ≯ › 请赐教：吉奥视频ASProtect V2.X脱壳，VolX脚本脱壳，修补问题！！

pyqq 发表于 2008-4-12 21:30:30

请赐教：吉奥视频ASProtect V2.X脱壳，VolX脚本脱壳，修补问题！！

软件名称： 吉奥虚拟视频(JiaoMPC) V1.38
适用平台:Win2000,WinXP,Win2003
软件类别：共享版
功能介绍
- 支持模拟摄像头视频多开，可以支持多达32个客户程序同时联上虚拟视频。再也不会出现摄像头被占用而无法打开的情况了.
- 支持窗口，屏幕的捕获和录像，可以将捕获的图片保存为BMP(拍照)和AVI(录像，包括声
＝＝＝＝＝
原版下载：http://www.jiaovideo.com/download/setup_jm.exe
绿色版下载：http://www.liqong.com/JiaoMPC.rar

请教吉奥虚拟视频ASProtect V2.X脱壳，OD载入,shift_F9忽略错误，用VOLX大侠的脚本脱后停下来后，提示“这个API 没有模拟”，没有出现OEP地址，不知道如何ImportREC修复了
.......
00401000   程序入口点
            >> Status: EP break deleted
76300000   模块 C:\WINDOWS\system32\IMM32.DLL
76301000   文件头中的代码大小是 00014C00, 已对区段扩容: '.text'
71A40000   模块 C:\WINDOWS\system32\wsock32.dll
71A41000   文件头中的代码大小是 00002400, 已对区段扩容: '.text'
7C80176B   断点位于 kernel32.GetSystemTime
0156FF66   访问违例: 写入到
0156E2BA   INT3 命令位于 0156E2BA
0156F004   访问违例: 写入到
0156F7F3   断点位于 0156F7F3
0156F6F4   断点位于 0156F6F4
0156F382   访问违例: 写入到
01564C5A   断点位于 01564C5A
0153011A   断点位于 0153011A
         AsprAPIloc: 0157267C
         Aspr1stthunk: 0090F090
0156F4B8   断点位于 0156F4B8
0156F5D1   断点位于 0156F5D1
0156F609   断点位于 0156F609
0156F67A   断点位于 0156F67A
01530024   断点位于 01530024
         这版的 Asprotect 其 SDk API 总数 = 0000000D

[ 本帖最后由 pyqq 于 2008-4-19 21:29 编辑 ]

hj2008mt 发表于 2008-4-14 09:43:42

偶试过不会呀,打开用脚本一下就搞定了!!

pyqq 发表于 2008-4-14 20:08:54

谢谢hj2008mt，新手，总是搞不定，载入脚本，总是提示 OD提示7F75308D不可读，请尝试更改EIP。。。。。

请问能否把脱壳后的文件发上来，谢谢!
pyqq#sohu.com(#换成*)

hj2008mt 发表于 2008-4-19 08:31:24

你换个OD试试看,还有你将你的OD里的UDD清理干净后再试.

pyqq 发表于 2008-4-19 15:17:32

感谢回复，多次尝试失败，换了几个OD版本了 ：（/:011

麻烦您有空，发给我一份脱壳后的，或OD，再次感谢指教！！

pyqq 发表于 2008-4-19 21:27:28

换了OD版本，。。。。
0081B905   条件暂停: eip < 0002720000
         IAT 的地址 = 0090F000
         IAT 的相对地址 = 0050F000
         IAT 的大小 = 00000EDC
01520042   断点位于 01520042
         OEP 的地址 = 0081B905
         OEP 的相对地址 = 0041B905
中间提示“这个 API 没有模拟”，确定后继续，提示“没有偷窃代码, 请查看记录窗口内的 IAT 数据”，确定，脱壳完毕。

用ImportREC修复IAT，点获取输入表出现
原始 IAT RVA 发现于: 0050F380 位于块 RVA: 0050F000 大小:0013E000
IAT 读取成功.
rva:0050F378 来自模块:ntdll.dll 序号:01AF 名称:RtlUnwind         
rva:0050F37C 来自模块:ntdll.dll 序号:02C6 名称:RtlReAllocateHeap         
rva:0050F398 来自模块:ntdll.dll 序号:0334 名称:RtlSizeHeap         
rva:0050F568 来自模块:ntdll.dll 序号:0226 名称:RtlTryEnterCriticalSection         
rva:0050F66C 来自模块:ntdll.dll 序号:024D 名称:RtlGetLastWin32Error         
rva:0050F670 来自模块:ntdll.dll 序号:0169 名称:RtlRestoreLastWin32Error         
rva:0050F68C 来自模块:ntdll.dll 序号:021C 名称:RtlLeaveCriticalSection         
rva:0050F690 来自模块:ntdll.dll 序号:0242 名称:RtlEnterCriticalSection         
rva:0050F694 来自模块:ntdll.dll 序号:0097 名称:RtlDeleteCriticalSection         
rva:0050F6A0 来自模块:ntdll.dll 序号:0206 名称:RtlAllocateHeap         
rva:0050F6A4 来自模块:ntdll.dll 序号:0204 名称:RtlFreeHeap         
---------------------------------------------------------------------------------------------------------------------------
当前输入表:
19 (十进制:25) 个有效模块 (已添加: +19 (十进制:+25))
39D (十进制:925) 个输入函数. (已添加: +39D (十进制:+925))
(1 (十进制:1) 个未解决的指针) (已添加: +1 (十进制:+1))

有无效指标，请教如何手动修复？？？
转存后运行“应用程序正常初始化(0xc0000005)失败。请单击“确定”，终止应用程序。 ”

小生我怕怕 发表于 2008-4-19 21:54:57

你是要直接脱了还是怎么的

pyqq 发表于 2008-4-19 22:05:13

脱壳后无法运行，可能需要对API进行修复，不会，如果高手有空，帮忙脱壳后发上来，谢谢

小生我怕怕 发表于 2008-4-19 22:38:51

绿色版下不下来，你换个地址我帮你脱这个壳

pyqq 发表于 2008-4-20 08:25:36

可以下载的。绿色版http://www.liqong.com/JiaoMPC.rar可以下载的，留下email，我发给你，谢谢

查看完整版本: 请赐教：吉奥视频ASProtect V2.X脱壳，VolX脚本脱壳，修补问题！！