『求助』给有双重验证文件(ASProtect 1.33 - 2.1 Registered -> Alexey Solodovnikov *加壳以及服务器验证)脱壳不成功是为什么?
一、说明:
1.要求:给双验证文件脱壳并解除连接服务器以及验证帐号密码选项.
2.文件:一个加壳(ASProtect 1.33 - 2.1 Registered -> Alexey Solodovnikov *)并有服务器验证
3.文件内容:启动文件的时候连接验证服务器,服务器返回信息之后可以用帐号和密码进行登陆,根据帐号,分为一般用户和高级用户而拥有不同功能.
4.操作平台: Windows Sp2
二、自己脱壳与破解情况:
1.使用PEiD_ch0.94查询,得知该文件是使用ASProtect 1.33 - 2.1加壳,于是使用OLLYICE和Aspr2.XX_unpacker_v1.0SC.osc给该文件脱壳(脱壳方法严格按照论坛置顶帖子http://bbs.pediy.com/showthread.php?t=20366&page=1要求进行操作).
2.操作过程中出现:"有偷窃代码,请查看记录窗口内的IAT数据"字样出现,点击确定后返回操作界面.
3.在记录窗口按ALT+L出现下列信息:
点阵字体 'MS Sans Serif' 已被替换为 '宋体'
Asm2Clipboard PlugIn v0.1
Written by FaTmiKE 2oo4
I used code snippets from ExtraCopy PlugIn v1.0 by Regon
...so thanks to Regon for his great job!
Bookmarks sample plugin v1.06 (plugin demo)
Copyright (C) 2001, 2002 Oleh Yuschuk
CleanupEx v1.12.108 by Gigapede
CommandBar v3.00.108
Originary Written by Oleh Yuschuk Modified by Gigapede Contributors:TBD Wayne psyCK0 mfn
GODUP ver 1.2 by godfather+ - Delphi edition
Hide Caption v1.00 by Gigapede
HideOD,
f14K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4m8W2k6r3W2&6i4K6u0W2j5$3!0E0
ODbgScript v1.51
by hnhuqiong@126.com from OllyScript 1.47 by Epsylon3
OllyDump v3.00.110 by Gigapede
OllyMachine v0.20
Written by Luo Cong
Compiled on Dec 7 2004 14:32:15
OllyScript v0.92
Written by SHaG
Ultra String Reference v0.11
Written by Luo Cong
Compiled on Sep 20 2005 15:33:30
WatchMan v1.00 by Gigapede
数据格式转换 plugin v1.1
该插件可以将内存里的二进制数据转换为相应的编译语言数据格式
Copyright (C) 2006 by zhanshen[DFCG][RCT]
正在扫描导入库 '.\LIB\MFC42.Lib'
已解析出 6384 个序号
正在扫描导入库 '.\LIB\mfc71.Lib'
已解析出 6442 个序号
文件 'C:\Documents and Settings\Administrator\桌面\Show.zs For 精灵 RC5.20.exe'
ID 00000DC0 的新进程已创建
00401000 ID 000008E8 的主线程已创建
00400000 模块 C:\Documents and Settings\Administrator\桌面\Show.zs For 精灵 RC5.20.exe
5FDD0000 模块 C:\WINDOWS\system32\netapi32.dll
76320000 模块 C:\WINDOWS\system32\comdlg32.dll
76990000 模块 C:\WINDOWS\system32\ole32.dll
76B10000 模块 C:\WINDOWS\system32\winmm.dll
770F0000 模块 C:\WINDOWS\system32\oleaut32.dll
77180000 模块 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll
77BD0000 模块 C:\WINDOWS\system32\version.dll
77BE0000 模块 C:\WINDOWS\system32\msvcrt.dll
77D10000 模块 C:\WINDOWS\system32\USER32.dll
77DA0000 模块 C:\WINDOWS\system32\advapi32.dll
77E50000 模块 C:\WINDOWS\system32\RPCRT4.dll
77EF0000 模块 C:\WINDOWS\system32\GDI32.dll
77F40000 模块 C:\WINDOWS\system32\SHLWAPI.dll
7C800000 模块 C:\WINDOWS\system32\kernel32.dll
7C920000 模块 C:\WINDOWS\system32\ntdll.dll
7D590000 模块 C:\WINDOWS\system32\SHELL32.dll
5CC30000 模块 C:\WINDOWS\system32\ShimEng.dll
76300000 模块 C:\WINDOWS\system32\IMM32.DLL
62C20000 模块 C:\WINDOWS\system32\LPK.DLL
73FA0000 模块 C:\WINDOWS\system32\USP10.dll
5CC30000 卸载 C:\WINDOWS\system32\ShimEng.dll
00401000 程序入口点
71A40000 模块 C:\WINDOWS\system32\wsock32.dll
71A20000 模块 C:\WINDOWS\system32\WS2_32.dll
71A10000 模块 C:\WINDOWS\system32\WS2HELP.dll
7C80176B 断点位于 kernel32.GetSystemTime
00D6FF66 访问违规: 正在写入到 [00000000]
00D6E2BA INT3 命令位于00D6E2BA
00D6F004 访问违规: 正在写入到 [00000000]
00D6F7F3 断点位于 00D6F7F3
00D6F6F4 断点位于 00D6F6F4
00D6F382 访问违规: 正在写入到 [00000000]
00D64C5A 断点位于 00D64C5A
00D3011A 断点位于 00D3011A
AsprAPIloc: 00D7267C (红字)
00D6F4B8 断点位于 00D6F4B8
00D6DC3E 硬件断点 1 位于 00D6DC3E
00D6F5D1 断点位于 00D6F5D1
00D6F609 断点位于 00D6F609
00D6F67A 断点位于 00D6F67A
00D30156 断点位于 00D30156
00D30034 断点位于 00D30034
00D6E2BA INT3 命令位于00D6E2BA
00D3ED08 断点位于 00D3ED08
00D658DF 断点位于 00D658DF
00D6E834 硬件断点 1 位于 00D6E834
01F502A4 断点位于 01F502A4
00D307D9 断点位于 00D307D9
00D3003E 断点位于 00D3003E
00D300F2 断点位于 00D300F2
00D30030 断点位于 00D30030
IAT 的地址 = 004E612C (红字)
IAT 的相对地址 = 000E612C (红字)
IAT 的大小 = 00000E68 (红字)
00D30079 断点位于 00D30079
OEP 的地址 = 00401728 (红字)
OEP 的相对地址 = 00001728 (红字)
4.打开Import Reconstructor1.6汉化版,选择进程,根据上面的信息输入IAT 的相对地址 = 000E612C ,IAT 的大小 = 00000E68 , OEP 的相对地址 = 00001728 .,点"获取输入信息",点"无效函数"发现数值全部为真,点"可疑函数"发现一个ID为255的函数可疑:
(1)不删除该可疑函数,直接"修复抓取文件",该修复的文件无法用LordPE_fix重建PE,使用PEiD_ch0.94查询无法显示编程类型.无法进入下一步.
(2)不删除该可疑函数,直接"修复抓取文件",该修复的文件可法用LordPE_fix重建PE,使用PEiD_ch0.94查询也法显示编程类型.进入下一步5.
5.按照帖子【原创】新魔界精灵 Ver3.6.0(会员超级版) 脱壳+优化+破解(http://bbs.pediy.com/showthread.php?t=38074)的操作思路进行破解,无法正常修改代码,至此,操作结束.
三、疑问:
1.怀疑脱壳过程存在缺陷,但是无法发现原因,请高手指点。
2.找不到连接服务器以及进行网络帐号密码验证的字段,请高手指出并说明修改方法。
3.是否可以以图片的方式加以说明?是否可将文件按照要求处理之后给本人对比一下?
四、一些说明:
本人绝对新人,还有很多疑问需要请教,热心当教官的请联系。本人绝对虚心学习。
文章涉及的软件除目标文件(提取码1738811487提取有效期间为3天,次数为10次,地址是
209K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3c8A6M7$3D9J5x3#2)9J5k6i4y4Z5i4K6u0W2j5$3!0E0i4K6u0r3M7r3W2U0K9#2)9J5k6h3q4K6M7s2S2Q4x3@1k6U0L8$3c8W2i4K6y4p5x3e0M7K6z5o6R3I4x3e0b7^5y4#2!0q4c8W2!0n7b7#2)9^5b7K6t1H3x3o6N6Q4x3X3f1H3y4#2)9J5k6e0t1@1i4@1f1#2i4K6V1H3i4K6S2q4i4@1f1#2i4K6S2r3i4@1p5$3i4@1f1#2i4@1p5@1i4K6V1$3i4@1f1^5i4@1q4q4i4@1u0q4i4@1f1%4i4@1u0p5i4@1q4q4i4@1f1$3i4K6S2r3i4K6V1H3i4@1f1#2i4K6S2r3i4K6V1$3i4@1f1@1i4@1u0r3i4@1p5I4i4@1f1$3i4K6R3I4i4@1q4r3i4@1g2r3i4@1u0o6i4K6R3&6i4@1f1#2i4@1p5@1i4K6V1$3i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1#2i4K6R3#2i4@1t1$3i4@1f1@1i4@1u0p5i4K6V1&6i4@1f1#2i4K6W2p5i4K6R3%4i4@1f1@1i4@1t1^5i4K6S2n7i4@1f1^5i4@1u0p5i4@1u0p5i4@1f1^5i4K6R3%4i4@1q4m8i4@1f1$3i4K6W2o6i4@1q4o6i4@1f1^5i4@1q4q4i4@1u0m8i4@1f1#2i4K6W2p5i4K6W2n7i4@1f1K6i4K6R3H3i4K6R3J5
2007.07.22说明:源文件也可以从这里下载:
d49K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3I4A6N6X3g2Q4x3X3c8K6K9r3q4J5k6g2)9J5k6h3y4G2L8g2)9J5c8X3k6A6L8r3g2K6i4K6u0r3x3U0b7$3z5o6l9$3i4K6u0r3i4K6g2X3i4K6g2X3i4K6g2X3i4K6g2X3i4K6g2X3i4K6g2X3i4K6u0W2M7X3q4J5i4K6u0W2K9s2c8E0L8l9`.`.
9b1K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3I4A6N6X3g2Q4x3X3c8K6K9r3q4J5k6g2)9J5k6h3y4G2L8g2)9J5c8X3k6A6L8r3g2K6i4K6u0r3x3U0b7$3z5o6l9$3i4K6u0r3x3$3k6V1x3r3c8U0x3K6f1H3j5#2)9J5c8W2)9#2k6W2)9#2k6W2)9#2k6W2)9#2k6W2)9#2k6W2)9#2k6W2)9J5k6i4u0S2M7W2)9J5k6h3S2@1L8h3H3`.
[培训]科锐逆向工程师培训第53期2025年7月8日开班!
