请朋友们帮我看看这个脱vfp_exeNc内存型壳(老王的）后的修复

wfp

请哪位朋友帮我看看这个壳：ASPack 2.x (without poly) -> Alexey Solodovnikov（用peid标准查壳什么都没发现，用深度扫描才发现的），其实他是vfp_exeNc内存型壳，我用不忽略int3异常或单步跟踪一次加两次esp定律，找到了他的oep为400240b4，入口特征为：
004240B4 >  55              push ebp
004240B5    8BEC            mov ebp,esp
004240B7    B9 08000000     mov ecx,8
004240BC    6A 00           push 0
004240BE    6A 00           push 0
004240C0    49              dec ecx
004240C1  ^ 75 F9           jnz short 1.004240BC

脱壳后peid查为Borland Delphi 6.0 - 7.0，不知是为什么？他的主程序应该是vfp的,oep及iat修复后运行脱壳后程序出错！

[ 本帖最后由 wfp 于 2008-8-1 21:45 编辑 ]

wfp

原文件下载地址是：http://www.onlinedown.net/soft/30790.htm

[ 本帖最后由 wfp 于 2008-8-1 11:03 编辑 ]

kungbim

老王的壳/:012

wfp

这里有fly的脱壳主程序的教程，http://bbs.pediy.com/showthread. ... t=vfp%26exeNc+V5.00。但我不知这句是什么意思：“明显可以看出是AsPack，OK，现在可以dump下来，修正EP=000EE001，再把原来的IAT复制进dump.exe”，即原来的iat如何得到，又如何复制，请各位朋友不吝指教。谢谢！

[ 本帖最后由 wfp 于 2008-8-1 01:07 编辑 ]

wfp

原程序已放上链接，脱壳后手动查找iat已经修复了所有指针，但程序不能运行，壳的版本应在6.20以上，我脱了他的一个6.20的，程序能运行，偏偏这个不行，不知是为什么？而且在od载入原程序到oep后，取消所有断点和异常，点f9程序也不能运行，因此比较不了原程序和托壳后的程序不同点，找不到脱壳后程序不能运行的原因，请朋友们告诉我如何修复。先谢谢了！

[ 本帖最后由 wfp 于 2008-8-1 11:26 编辑 ]

小生我怕怕

这个是老王壳,有点希奇!

wfp

应该是吧，不是是什么？

小生我怕怕

这个壳的名字和你的名字一样的,我也脱到了OEP,但是也是无法运行!

wfp

我是w它是v，哈哈！！！

wfp

好孤独，我们论坛的高人为啥不给指点呢？