ASProtect 1.23 RC4手把手脫殼圖文教學全攻略
聽說這東西欠了小平好久,只好趁難得有空把他生出來
實習生涯(X)
廢文生涯(O)
/////============以下正文============
首先先把StrongOD跟調試選項勾成下圖這樣
把DF.exe拉近OD應該會有以下提示
因為他偵測到執行檔被加密/壓縮,所以問你要不要分析
直接按否
載入以後停在OEP
應該是長下面這個樣子
再把StrongOD裡面的Skip Some Execptions勾勾拿掉
這樣才能用最後一次異常法
開始瘋狂的Shift+F9
一直到下面的堆疊視窗看見XXXXXXXXX=
看見了以後就慢慢按Shift+F9到他消失馬上停下來
應該會停在下面這地方
在00323A29那個retn的地方下斷點(每台電腦地址不一定一樣)
shift+F9執行到這邊,看一下右下角的堆疊視窗
下硬件斷點 hr 0018FF30
應該會來到下圖這個地方
這時候要把硬件斷點刪掉
再來就一路F8到這個地方
F7跟進去
經過漫長的一路F7之後應該會來到這邊
看起來很像一般軟體的入口點
紀錄一下到prefix repne:以前的asm
這些是被殼偷走的OEP,等等要把他拼回去
紀錄一下到prefix repne:以前的asm
紀錄一下到prefix repne:以前的asm
紀錄一下到prefix repne:以前的asm
紀錄一下到jmp以前的asm
最後會到這邊
這是剛剛記錄下來被幹走的OEP
這是剛剛停著的位置上面
有一大串00
在這邊要把剛剛記錄下來的OEP寫回去
寫完以後長這個樣子
在EIP上面右鍵->用OllyDump脫殼
按獲取EIP作為OEP,然後把修正為裡面的數值記錄下來,等等會用到
回到OD主畫面,在剛剛修復完新的OEP頭部點右鍵,按此處為新EIP
再按用OllyDump脫殼
先把重建輸入法勾勾拿掉,再按獲取EIP做為OEP,一樣把這數值記錄下來
紀錄完後點脫殼
隨便用個檔名存下來
開啟improtREC,也開啟一個新的要被脫殼的exe讓他執行起來
選剛剛執行的df.exe
把剛剛第一個記錄下來的D0C81貼在需要的IAT訊息,然後按自動搜尋
他就會找出相關的IAT訊息
之後按顯示無效函數
在上面按右鍵->外掛選單->ASProtect1.23 rc4
他就會開始修復剛剛無效的函數
修復完以後再把剛剛我們手動填回去的OEP頭部地址D0C5B填寫進OEP訊息裡面
再按修復轉存文件
選擇剛剛dump出來的test
這時候再回去看就會有一個test_
直接把他拉近OD就會看到正常的OEP頭,也可以正常的修改EXE文件
剩下的分析就是別人的故事了QWQQWQ
留言
張貼留言