【使用工具】 Peid,Ollydbg,Loadpe,ImportREC1.42
【脱壳平台】 Win2000/XP
【软件名称】 AssistZone.exe
【下载地址】
5ffK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4y4C8P5h3y4F1i4K6u0W2j5$3!0E0i4K6u0r3M7$3!0X3N6q4)9J5c8U0t1$3y4o6R3^5i4K6u0W2K9s2c8E0L8l9`.`.
【加壳方式】 ASProtect 1.1b Registered [SAC] -> Alexey Solodovnikov
OD载入后
0040D001 ch> 60 pushad
0040D002 E9 95050000 jmp chap709.0040D59C
0040D007 F710 not dword ptr ds:[eax]
0040D009 0F0F ??? ; 未知命令
0040D00B 0F9F6C90 FC setg byte ptr ds:[eax+edx*4-4]
0040D010 57 push edi
0040D011 C5540F CA lds edx,fword ptr ds:[edi+ecx-36]
0040D015 4B dec ebx
0040D016 C5540F 12 lds edx,fword ptr ds:[edi+ecx+12]
0040D01A EC in al,dx
F9运行
00D2FF94 8DC0 lea eax,eax ; 非法使用寄存器
00D2FF96 EB 01 jmp short 00D2FF99
00D2FF98 68 648F0500 push 58F64
第一次异常!
SHIFT+F9连续12次后
00D2FF94 8DC0 lea eax,eax ; 非法使用寄存器
00D2FF96 EB 01 jmp short 00D2FF99
00D2FF98 68 648F0500 push 58F64
都是这样的异常
ALT+M
ALT+M 打开内存镜像。
内存映射,项目 23
地址=00401000
大小=00364000 (3555328.)
物主=AssistZo 00400000
区段=
包含=code
类型=Imag 01001002
访问=R
初始访问=RWE
007645FC 55 push ebp
007645FD 8BEC mov ebp,esp
007645FF 83C4 F0 add esp,-10
00764602 B8 74387600 mov eax,AssistZo.00763874
00764607 E8 2434CAFF call AssistZo.00407A30
0076460C A1 080A7800 mov eax,dword ptr ds:[780A08]
00764611 8B00 mov eax,dword ptr ds:[eax]
00764613 E8 A401D5FF call AssistZo.004B47BC
00764618 A1 080A7800 mov eax,dword ptr ds:[780A08]
0076461D 8B00 mov eax,dword ptr ds:[eax]
0076461F BA 74467600 mov edx,AssistZo.00764674 ; ASCII "AssistZone"
00764624 E8 3BFDD4FF call AssistZo.004B4364
00764629 8B0D 340B7800 mov ecx,dword ptr ds:[780B34] ; AssistZo.00783ED0
用OD脱壳插件脱壳后,ImportREC1.42 进行修复!!总工113处错误,用自动追踪修复了很多!!就剩下几个老是修复不好!!
好请大虾帮帮忙呀!!
小弟感激不尽
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
