脱ASPack 2.12 -> Alexey Solodovnikov [Overlay]遇到的问题

歪歪叉 · 发表于 2007-11-16 00:37:13

提示: 作者被禁止或删除内容自动屏蔽

秋之夜 · 发表于 2007-11-19 11:07:34

不能用脱壳工具试试？？

ttch · 发表于 2007-11-19 13:19:52

原帖由温柔于 2007-11-2 21:53 发表
把附加数据加到脱壳后的程序里。。。。。。

同意

下个 Overlay 工具，把附加数据加上去试试看

wangwei.hebtu · 发表于 2007-11-19 21:20:56

原帖由 gujin162 于 2007-10-12 19:43 发表
修复不能运行
不知道是什么原因
另：
https://www.chinapyg.com/viewthr ... =page%3D1#pid141508
这个帖子我也看了，可谓“胡说八道”并不是说错，而是他说的不对路啊.....

伙计－首先态度要诚恳！还说人家胡说八道－你看看你的什么壳？ASPack 2.12－人家是ASProtect V2.X，一样吗？脱下来才怪－呵呵

ESP定律直接干掉－

004E3570 55             PUSH EBP
004E3571 8BEC          MOV EBP,ESP
004E3573 B9 04000000    MOV ECX,4
004E3578 6A 00          PUSH 0
004E357A 6A 00          PUSH 0
004E357C 49             DEC ECX
004E357D  ^ 75 F9          JNZ SHORT QQ棋牌游.004E3578
004E357F 51             PUSH ECX

直接脱掉后－修复，peid查壳为Borland Delphi 6.0 - 7.0，运行之－只是在托盘区看到一闪，那么可能有自效验

[ 本帖最后由 wangwei.hebtu 于 2007-11-19 21:31 编辑 ]

bdpq · 发表于 2007-11-20 18:39:17

哎这个壳有那么难吗？
高手能给个去下自校验的过程吗？
我都问了快一个月了，这个是我的入门壳，我一定要弄明白。
我是为了去掉这个程序的弹出网页才学破解的！
现在竟然连壳都没脱了
失败啊

bdpq · 发表于 2007-11-24 18:17:01

怎么没人关注啊！！！！我的天啊

chadd · 发表于 2007-12-5 13:39:33

程序有自校验
00491EE3 .  8B55 F8    MOV EDX,DWORD PTR SS:[EBP-8]
00491EE6 .  8B12       MOV EDX,DWORD PTR DS:[EDX]
00491EE8 .  E8 B32FF7FF CALL E3570_.00404EA0
00491EED .  75 12       JNZ SHORT E3570_.00491F01 ;自校验跳转
00491EEF .  B8 E0930400 MOV EAX,493E0

将其修改为
00491EE0 > \8B45 E4    MOV EAX,DWORD PTR SS:[EBP-1C]
00491EE3    8B55 F8    MOV EDX,DWORD PTR SS:[EBP-8]
00491EE6    8B12       MOV EDX,DWORD PTR DS:[EDX]
00491EE8 .  E8 B32FF7FF CALL E3570_.00404EA0
00491EED    90          NOP
00491EEE    90          NOP
00491EEF .  B8 E0930400 MOV EAX,493E0
程序可正常运行

toufyqin · 发表于 2007-12-15 20:21:09

楼上的能否写个去自校验的教程.

bdpq · 发表于 2007-12-24 18:42:35

谢谢chadd，请写个教程吧文本的也行啊。
关注中……

剑客之道 · 发表于 2007-12-28 15:29:13

00AF1001 >  60             PUSHAD                      ;F8单步
00AF1002 E8 03000000    CALL QQ棋牌游.00AF100A    ；这里向右看寄存器窗口ESP变红12FFA4
00AF1007  - E9 EB045D45    JMP 460C14F7                   在下面命令行里下HR 12FFA4命令后回                                                          车
00AF100C 55             PUSH EBP
00AF100D C3             RETN
00AF100E E8 01000000    CALL QQ棋牌游.00AF1014
00AF1013 EB 5D          JMP SHORT QQ棋牌游.00AF1072

然后F9运行程序来到这里

00AF13B0 /75 08          JNZ SHORT QQ棋牌游.00AF13BA
00AF13B2 |B8 01000000    MOV EAX,1
00AF13B7 |C2 0C00       RETN 0C
00AF13BA \68 70354E00    PUSH QQ棋牌游.004E3570
00AF13BF C3             RETN
00AF13C0 8B85 26040000 MOV EAX,DWORD PTR SS:[EBP+426]
00AF13C6 8D8D 3B040000 LEA ECX,DWORD PTR SS:[EBP+43B]
00AF13CC 51             PUSH ECX
00AF13CD 50             PUSH EAX
00AF13CE FF95 490F0000 CALL DWORD PTR SS:[EBP+F49]
00AF13D4 8985 55050000 MOV DWORD PTR SS:[EBP+555],EAX
00AF13DA 8D85 47040000 LEA EAX,DWORD PTR SS:[EBP+447]
00AF13E0 50             PUSH EAX
00AF13E1 FF95 510F0000 CALL DWORD PTR SS:[EBP+F51]

F8单步3次，即可来到OEP了
004E3570 55             PUSH EBP             ；在这里脱壳吧！
004E3571 8BEC          MOV EBP,ESP
004E3573 B9 04000000    MOV ECX,4
004E3578 6A 00          PUSH 0
004E357A 6A 00          PUSH 0
004E357C 49             DEC ECX
004E357D  ^ 75 F9          JNZ SHORT QQ棋牌游.004E3578
原来程序是用Borland Delphi 6.0 - 7.0写的
我用这种方法脱了好多壳，挺好用的
不需要修复的

		自动登录	找回密码
密码			加入我们

歪歪叉歪歪叉当前离线 UID 37539 注册时间 2007-11-12 阅读权限 0 最后登录 1970-1-1 禁止访问 IP卡该用户从未签到	发表于 2007-11-16 00:37:13 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
	PYG19周年生日快乐！
	回复支持反对使用道具举报显身卡

[求助] 脱ASPack 2.12 -> Alexey Solodovnikov [Overlay]遇到的问题

我的方法（仅供参考）