[求助]我? aprotect 1.33 build 03.07 Release 不能哕行，?高手看看~~~!!-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
jefferson 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	jefferson 2 楼最初由 machenglin* 发布* 连接无效！使用"Import REConstructor 1.6"修复。看有无偷代码，补区段或修复。最后检查有无自校验。我看了之後好像是?有偷代瘁所以?大???忙呗接咀址更新如下 31fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4W2G2N6i4u0X3K9h3I4W2K9r3!0K6N6q4)9J5k6h3y4G2L8g2)9J5c8X3#2W2k6r3W2S2i4K6u0W2M7r3S2H3i4K6y4r3j5$3q4@1i4K6y4p5L8%4c8Z5k6i4u0Q4x3U0k6X3K9h3I4W2i4K6y4p5b7$3S2A6k6f1k6G2P5q4)9J5k6i4u0S2M7R3`.`. 2007-1-12 11:45 0
jefferson 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	jefferson 3 楼最初由 machenglin* 发布* 连接无效！使用"Import REConstructor 1.6"修复。看有无偷代码，补区段或修复。最后检查有无自校验。呃??体我是?考菜???的第一篇及第二篇原以?用第一篇就能解? 可是一直?不了 2007-1-13 14:12 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 4 楼呵呵,下载相当慢. 2007-1-13 16:56 0
jefferson 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	jefferson 5 楼最初由 cyto* 发布* 呵呵,下载相当慢. 再?一??接，?在不知道之前下蒌速度不快希望高手??我呃?忙 52eK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4g2D9x3U0c8Q4x3X3g2J5j5i4m8A6k6s2y4Z5j5i4u0W2i4K6u0W2j5$3!0E0i4K6u0r3k6X3W2D9k6i4y4Q4x3V1j5I4x3e0f1J5y4U0b7@1y4g2)9J5c8V1k6G2P5q4)9J5k6i4u0S2M7R3`.`. 2007-1-13 23:46 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 6 楼脚本运行完毕，修复IAT，然后可以运行，所以没能发现问题。 2007-1-14 12:48 0
jefferson 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	jefferson 7 楼最初由 cyto* 发布* 脚本运行完毕，修复IAT，然后可以运行，所以没能发现问题。我也是呃?，我先真明一下我的方式，希望 cyto 大?能?我看一下我邋在那彦??? 1. 哕行"Aspr2.XX_IATfixer_v2.2s 倪本" 2. alt+l 办?以下儋? iatstartaddr: 007EB000 iatstart_rva: 003EB000 iatsize: 000022FC 007AE696 ?行 [007AE696] ?韵置?存?? OEP_rva: 003AE696 3. 以 loadpe 1.4 DUMP 下程序 4. 以 ImportREC 1.6 修? oep:003AE696 rva:003EB000 size:000022FC 5. 按"GET Imports" 有一?未修? 以插件 "asprotect 1.22" 修?，完成 6. Fix Dump ----> dump.exe 完成?? 7. 哕行 dump_.exe 如? 2007-1-14 22:34 0
baoliman 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 0 关注私信	baoliman 8 楼关注 2007-1-14 23:14 0
小智雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	小智 9 楼试试内存镜像脱一下,我以前用内存镜像都可以的,直接用OD dump出来就可以运行了.不行的话就修复一下输入表. 2007-1-15 11:19 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 10 楼 OD加载脱壳后程序,运行,异常后看堆栈. 堆栈: 0012F754 00663E5F 返回到 un_Chief.00663E5F 来自 020EDD04 反汇编窗口跟随: 00663E59 FF15 EC748900 call dword ptr ds:[8974EC] ; here=020EDD04 00663E5F 833D 0C2BA400 0>cmp dword ptr ds:[A42B0C],0 跟踪源程序: 020EDD04 55 push ebp 020EDD05 8BEC mov ebp,esp 020EDD07 53 push ebx 020EDD08 56 push esi 020EDD09 8B5D 0C mov ebx,dword ptr ss:[ebp+C] 020EDD0C 8B75 08 mov esi,dword ptr ss:[ebp+8] 020EDD0F 8BC3 mov eax,ebx 020EDD11 E8 2E48FEFF call 020D2544 020EDD16 A3 98940F02 mov dword ptr ds:[20F9498],eax 020EDD1B 8B15 98940F02 mov edx,dword ptr ds:[20F9498] 020EDD21 8BC6 mov eax,esi 020EDD23 8BCB mov ecx,ebx 020EDD25 E8 2649FEFF call 020D2650 020EDD2A 891D 4CB70F02 mov dword ptr ds:[20FB74C],ebx 020EDD30 53 push ebx 020EDD31 8BCE mov ecx,esi 020EDD33 8B15 48B70F02 mov edx,dword ptr ds:[20FB748] 020EDD39 A1 44B70F02 mov eax,dword ptr ds:[20FB744] 020EDD3E E8 0932FFFF call 020E0F4C 020EDD43 833D 98B40F02 0>cmp dword ptr ds:[20FB498],0 ; 注意这里的值,00663A95 020EDD4A 75 05 jnz short 020EDD51 020EDD4C E8 4FFFFFFF call 020EDCA0 020EDD51 5E pop esi 020EDD52 5B pop ebx 020EDD53 5D pop ebp 020EDD54 C2 0800 retn 8 将call dword ptr ds:[8974EC] 的值修改为020EDD43处ds:[20FB498]的值即可. 在数据窗口查看,还有另外2处: 008974E4 020EDCA0 // 运行过程没发现用上 008974E8 020EDCD4 // 运行过程没发现用上 008974EC 020EDD04 // here,修改为00663A95 2007-1-15 15:50 0
jefferson 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	jefferson 11 楼著著你，我有一大步的咄展可是再??你....... 0180DD43 833D 98B48101 00 cmp dword ptr [181B498], 0 我的呃?值怎?是 00663CB0 如果我改? 00663CB0 ?行?邋锗如果我改? 00663A95 即哕行成功 2007-1-16 02:08 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 12 楼最初由 jefferson* 发布* 著著你，我有一大步的咄展可是再??你....... 0180DD43 833D 98B48101 00 cmp dword ptr [181B498], 0 我的呃?值怎?是 00663CB0 ........ 今早走一遍,发现的确是:00663CB0. 00663A95是另一个脚本跑的. 初步学习后发现这个应该是SDK,修复道理同jmp [xx]的SDK. 2007-1-16 07:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
jefferson 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	jefferson 2 楼最初由 machenglin* 发布* 连接无效！使用"Import REConstructor 1.6"修复。看有无偷代码，补区段或修复。最后检查有无自校验。我看了之後好像是?有偷代瘁所以?大???忙呗接咀址更新如下 31fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4W2G2N6i4u0X3K9h3I4W2K9r3!0K6N6q4)9J5k6h3y4G2L8g2)9J5c8X3#2W2k6r3W2S2i4K6u0W2M7r3S2H3i4K6y4r3j5$3q4@1i4K6y4p5L8%4c8Z5k6i4u0Q4x3U0k6X3K9h3I4W2i4K6y4p5b7$3S2A6k6f1k6G2P5q4)9J5k6i4u0S2M7R3`.`. 2007-1-12 11:45 0
jefferson 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	jefferson 3 楼最初由 machenglin* 发布* 连接无效！使用"Import REConstructor 1.6"修复。看有无偷代码，补区段或修复。最后检查有无自校验。呃??体我是?考菜???的第一篇及第二篇原以?用第一篇就能解? 可是一直?不了 2007-1-13 14:12 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 4 楼呵呵,下载相当慢. 2007-1-13 16:56 0
jefferson 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	jefferson 5 楼最初由 cyto* 发布* 呵呵,下载相当慢. 再?一??接，?在不知道之前下蒌速度不快希望高手??我呃?忙 52eK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4g2D9x3U0c8Q4x3X3g2J5j5i4m8A6k6s2y4Z5j5i4u0W2i4K6u0W2j5$3!0E0i4K6u0r3k6X3W2D9k6i4y4Q4x3V1j5I4x3e0f1J5y4U0b7@1y4g2)9J5c8V1k6G2P5q4)9J5k6i4u0S2M7R3`.`. 2007-1-13 23:46 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 6 楼脚本运行完毕，修复IAT，然后可以运行，所以没能发现问题。 2007-1-14 12:48 0
jefferson 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	jefferson 7 楼最初由 cyto* 发布* 脚本运行完毕，修复IAT，然后可以运行，所以没能发现问题。我也是呃?，我先真明一下我的方式，希望 cyto 大?能?我看一下我邋在那彦??? 1. 哕行"Aspr2.XX_IATfixer_v2.2s 倪本" 2. alt+l 办?以下儋? iatstartaddr: 007EB000 iatstart_rva: 003EB000 iatsize: 000022FC 007AE696 ?行 [007AE696] ?韵置?存?? OEP_rva: 003AE696 3. 以 loadpe 1.4 DUMP 下程序 4. 以 ImportREC 1.6 修? oep:003AE696 rva:003EB000 size:000022FC 5. 按"GET Imports" 有一?未修? 以插件 "asprotect 1.22" 修?，完成 6. Fix Dump ----> dump.exe 完成?? 7. 哕行 dump_.exe 如? 2007-1-14 22:34 0
baoliman 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 0 关注私信	baoliman 8 楼关注 2007-1-14 23:14 0
小智雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	小智 9 楼试试内存镜像脱一下,我以前用内存镜像都可以的,直接用OD dump出来就可以运行了.不行的话就修复一下输入表. 2007-1-15 11:19 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 10 楼 OD加载脱壳后程序,运行,异常后看堆栈. 堆栈: 0012F754 00663E5F 返回到 un_Chief.00663E5F 来自 020EDD04 反汇编窗口跟随: 00663E59 FF15 EC748900 call dword ptr ds:[8974EC] ; here=020EDD04 00663E5F 833D 0C2BA400 0>cmp dword ptr ds:[A42B0C],0 跟踪源程序: 020EDD04 55 push ebp 020EDD05 8BEC mov ebp,esp 020EDD07 53 push ebx 020EDD08 56 push esi 020EDD09 8B5D 0C mov ebx,dword ptr ss:[ebp+C] 020EDD0C 8B75 08 mov esi,dword ptr ss:[ebp+8] 020EDD0F 8BC3 mov eax,ebx 020EDD11 E8 2E48FEFF call 020D2544 020EDD16 A3 98940F02 mov dword ptr ds:[20F9498],eax 020EDD1B 8B15 98940F02 mov edx,dword ptr ds:[20F9498] 020EDD21 8BC6 mov eax,esi 020EDD23 8BCB mov ecx,ebx 020EDD25 E8 2649FEFF call 020D2650 020EDD2A 891D 4CB70F02 mov dword ptr ds:[20FB74C],ebx 020EDD30 53 push ebx 020EDD31 8BCE mov ecx,esi 020EDD33 8B15 48B70F02 mov edx,dword ptr ds:[20FB748] 020EDD39 A1 44B70F02 mov eax,dword ptr ds:[20FB744] 020EDD3E E8 0932FFFF call 020E0F4C 020EDD43 833D 98B40F02 0>cmp dword ptr ds:[20FB498],0 ; 注意这里的值,00663A95 020EDD4A 75 05 jnz short 020EDD51 020EDD4C E8 4FFFFFFF call 020EDCA0 020EDD51 5E pop esi 020EDD52 5B pop ebx 020EDD53 5D pop ebp 020EDD54 C2 0800 retn 8 将call dword ptr ds:[8974EC] 的值修改为020EDD43处ds:[20FB498]的值即可. 在数据窗口查看,还有另外2处: 008974E4 020EDCA0 // 运行过程没发现用上 008974E8 020EDCD4 // 运行过程没发现用上 008974EC 020EDD04 // here,修改为00663A95 2007-1-15 15:50 0
jefferson 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	jefferson 11 楼著著你，我有一大步的咄展可是再??你....... 0180DD43 833D 98B48101 00 cmp dword ptr [181B498], 0 我的呃?值怎?是 00663CB0 如果我改? 00663CB0 ?行?邋锗如果我改? 00663A95 即哕行成功 2007-1-16 02:08 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 12 楼最初由 jefferson* 发布* 著著你，我有一大步的咄展可是再??你....... 0180DD43 833D 98B48101 00 cmp dword ptr [181B498], 0 我的呃?值怎?是 00663CB0 ........ 今早走一遍,发现的确是:00663CB0. 00663A95是另一个脚本跑的. 初步学习后发现这个应该是SDK,修复道理同jmp [xx]的SDK. 2007-1-16 07:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复