ASProtect1.2脱壳+修复+动画

enjon · 发表于 2007-9-29 20:17:57

【文章标题】: ASProtect1.2 脱壳+修复
【文章作者】: 追杀
【作者邮箱】: [email protected]
【作者QQ号】: 46345049
【软件名称】: ABC Amber Excel Converter
【软件大小】: 1.35MB
【下载地址】: http://gsts.onlinedown.net/down/abcexcel.zip
【加壳方式】: ASProtect1.2
【保护方式】: ASProtect1.2
【编写语言】: DELPHI
【使用工具】: PEID OD LordPE ImportREC
【操作平台】: WinXP2
【软件介绍】: ABC Amber Excel Converter是一个可以帮助你快速方
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  OD设置忽略除内存访问的所有异常
  OD载入停在这里
  00401000 >  68 01C07000    PUSH abcexcel.0070C001
  00401005 C3             RETN

  010D009D 3100          XOR DWORD PTR DS:[EAX],EAX       第一次异常
  010D009F EB 01          JMP SHORT 010D00A2


  010CFCF8 3100          XOR DWORD PTR DS:[EAX],EAX       第二次异常
  010CFCFA EB 01          JMP SHORT 010CFCFD

  010CFD3B 3100          XOR DWORD PTR DS:[EAX],EAX       第三次异常
  010CFD3D 64:8F05 0000000>POP DWORD PTR FS:[0]
  010CFD44 58             POP EAX
  010CFD45 E8 4E29FFFF    CALL 010C2698

  010CED49 3100          XOR DWORD PTR DS:[EAX],EAX       第四次异常
  010CED4B EB 01          JMP SHORT 010CED4E

  010D0260 3100          XOR DWORD PTR DS:[EAX],EAX       第十七次异常
  010D0262 EB 01          JMP SHORT 010D0265
  堆栈显示
  0012D738 0012D740  指向下一个 SEH 记录的指针
  0012D73C 010D0217  SE 处理器
  0012D740 0012FFE0  指向下一个 SEH 记录的指针
  0012D744 010D0A6F  SE 处理器
  0012D748 0012FF90
  0012D74C 010C0000
  0012D750 010A0000
  0012D754 010D0038
  0012D758 00000000
  0012D75C 010E737C  ASCII "G44ozAAQ6n0="                   硬盘指纹

  010EA2F2 FE01          INC BYTE PTR DS:[ECX]          最后一次异常
  010EA2F4  ^ EB E8          JMP SHORT 010EA2DE


  现在打开内存竞相在
  Memory map, 项目 23
地址=00401000                   代码处下断F2 SHIFT+F9
大小=0026A000 (2531328.)
属主=abcexcel 00400000
区段=
包含=代码
类型=映像 01001002
访问=R
初始访问=RWE

  OEP

  00669F58 55             PUSH EBP
  00669F59 8BEC          MOV EBP,ESP
  00669F5B 81C4 E8FEFFFF ADD ESP,-118
  00669F61 53             PUSH EBX
  00669F62 56             PUSH ESI
  00669F63 33C0          XOR EAX,EAX
  00669F65 8945 E8       MOV DWORD PTR SS:[EBP-18],EAX
  00669F68 8945 F0       MOV DWORD PTR SS:[EBP-10],EAX
  00669F6B 8945 EC       MOV DWORD PTR SS:[EBP-14],EAX
  00669F6E B8 D8976600    MOV EAX,abcexcel.006697D8

  LordPE 脱壳，Import Recon 修复文件

  OEP:269F58 RVA:002781DC SIZE:000009C0

  有390个无效指针，跟踪反汇编一级
  还有两个：我们用自带插件修复全部有效

  程序还是不能运行的现在来修复

  这时不要把原来哪个未脱壳的哪个OD关掉了。
  我们现在来看看哪里出错。出错的原因
  0066A015  |.  FF15 644F6700 CALL DWORD PTR DS:[674F64]             ;  dumped_.00669768
  0066A01B  |.  A1 5C586700 MOV EAX,DWORD PTR DS:[67585C]

  找到未脱壳的文件来到这个地址（0066A015）跟进去是这样右键跟随到内存地址

  010CC784 833D A8350D01 0>CMP DWORD PTR DS:[10D35A8],0
  010CC78B 74 06          JE SHORT 010CC793

  00669768 这个是内存值，返回脱脱后的OD同样方法。
  把值修改成未脱壳文件的值右击复制可值行文件保存
  看看可以运行了呵呵OK搞定了^_^
  010D35A8  00669768  abcexcel.00669768 这个就是出错地址

--------------------------------------------------------------------------------
【版权声明】: 本文原创于PYG技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

                                                   2007年09月29日 20:10:25

[ 本帖最后由 glts 于 2007-9-30 11:46 编辑 ]

zzage · 发表于 2007-9-29 23:27:32

学了...想下动画，但PYB又不多..哈哈。就看文章就行了~~~

bhcjl · 发表于 2007-9-30 07:31:20

下载看了才知道,这个早就有人做过了,真是浪费我的PYG币啊,汗

enjon · 发表于 2007-9-30 09:55:43

原帖由 bhcjl 于 2007-9-30 07:31 发表
下载看了才知道,这个早就有人做过了,真是浪费我的PYG币啊,汗

请问楼主为什么浪费你的PYB还下载呢。怎么不知看文字教程呢！~~~！！！！！！

凡夫俗子 · 发表于 2007-9-30 10:15:51

原帖由 bhcjl 于 2007-9-30 07:31 发表
下载看了才知道,这个早就有人做过了,真是浪费我的PYG币啊,汗

俺没有币也是看看得了。－－女警官好PP哦/:018

glts · 发表于 2007-9-30 11:47:25

已重新打包方便下载

[ 本帖最后由 glts 于 2007-9-30 13:05 编辑 ]

enjon · 发表于 2007-9-30 11:52:35

原帖由 glts 于 2007-9-30 11:47 发表
重新打包方便下载

我只能上传哪么大个文件，再重新打包也如此啊，之前那个网络硬盘关掉了/:10

菜儿 · 发表于 2007-9-30 12:24:03

支持原创动画....../:good

zhaoyafei19 · 发表于 2007-9-30 20:21:38

好复杂啊
看的不太懂

yyww · 发表于 2007-9-30 21:41:54

下载1 2 有困难

		自动登录	找回密码
密码			加入我们

[PYG原创] ASProtect1.2脱壳+修复+动画

本帖子中包含更多资源

评分

相关帖子