[求助]脱壳，新人练手，请大虾分析下我的错误在哪里。-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]脱壳，新人练手，请大虾分析下我的错误在哪里。 0.00雪花

发表于: 2007-10-30 13:21 6255

[旧帖] [求助]脱壳，新人练手，请大虾分析下我的错误在哪里。 0.00雪花

waterct

2007-10-30 13:21

6255

【文章标题】: 脱壳
【文章作者】: waterct
【作者邮箱】: waterct@163.com
【作者QQ 】: 6302390
【软件名称】: TMD传奇伴侣.exe ,下载地址 TMD传奇伴侣.rar
【作者声明】: 一直对破解很感兴趣，可是苦于无人指路。一个朋友玩游戏，说让我帮忙破破一个辅助软件。我尝试一下。可是最终没有成功，不知道何原因，哪位大哥指点下，感激不尽。
--------------------------------------------------------------------------------
【详细过程】
1，首先用PEiD 打开 “TMD传奇伴侣.exe ”，获取加壳工具 “Version: ASProtect 2.2 SKE build 03.05 Release " 如下：

2，接着OD载入 “TMD传奇伴侣.exe ”，选择前辈提供的 “Aspr2.XX_IATfixer_v2.2s.osc”这个脚本，自动寻找OEP 和大小。最后在查看-〉记录菜单里获得结果，如下：
   iatstartaddr: 00407000
         iatstart_rva: 00007000
         iatsize: 000000C0
0040389F 当执行 [0040389F] 时设置内存断点
         OEP_rva: 0000389F
图示如下：

3，打开工具 ImportREC，输入 OEP的值 0000389F，及RVA和size，点击 “获取输入表”，幸运的是，IAT全部成功，所有函数均显示有效： YES。
图示如下：

4，点击 ImportREC 的修复转储按钮，则会生成一个源文件名后带短下划线的文件。

5，按照常理，应该这个就是最终的破解后文件。可是当我运行后，发现提示：Error,Invalid data in the file! 哪位大哥给帮忙分析下我错在哪里？
图示如下：

虽然我通篇都是在利用工具，但是这也是我的破解第一步，我现在卡在这里，郁闷了好几天了。但是就是不知道原因。谁能帮我一把？太谢谢了。
更痴心妄想有一个大虾能加我QQ指点我，虽然这是痴心妄想，但是还是梦想着奇迹会发生。
有人帮我吗？

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

1.jpg （23.42kb，122次下载）
2.jpg （10.45kb，127次下载）
3.jpg （38.85kb，124次下载）
4.jpg （4.80kb，123次下载）
TMD传奇伴侣.rar （906.95kb，20次下载）

收藏・0

免费・0

支持

最新回复 (24)
waterct 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	waterct 2 楼由于不能上传附件，截图和破解的文件都不能上传，要是能上传，有朋友跟我一块研究就太好了。 2007-10-30 13:22 0
waterct 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	waterct 3 楼为什么就没有一个老大过来瞅瞅呢？ 2007-10-30 13:50 0
waterct 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	waterct 4 楼现在已经回复11篇帖子了，我测试下是否可以上传附件 2007-10-30 14:06 0
waterct 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	waterct 5 楼图片上传成功，为啥没有自动展现出来？ 2007-10-30 14:20 0
sadsea2004 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 31 粉丝 0 关注私信	sadsea2004 6 楼 importres修复应该修复哪个以UN_开头的文件 2007-10-30 15:00 0
waterct 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	waterct 7 楼谢谢楼上的，我是修复的那个以 UN_开头的文件“un_TMD传奇伴侣.exe”，生成的“un_TMD传奇伴侣_.exe”，但是运行不起来 2007-10-30 15:32 0
waterct 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	waterct 8 楼我究竟错在什么地方？谁能告诉我？ 2007-10-30 15:35 0
天人gdp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	天人gdp 9 楼楼主，找个免费图片上传空间，传上去后，在这写链接就行了，你的问题俺就帮不上忙了! 2007-10-30 15:54 0
waterct 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	waterct 10 楼嗯。谢谢天人。热心的人总是让人很感激 2007-10-30 16:07 0
waterct 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	waterct 11 楼我又尝试了几个用ASProtect 加壳的文件，都是一样的结果。但是用ImportREC 查看时，所有的函数都是有效的。谁能告诉我是什么原因？真的好着急好郁闷。哪位大大帮帮我。万分的谢谢 2007-10-30 16:35 0
sczerg 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 36 粉丝 0 关注私信	sczerg 12 楼个人感觉你的入口点没有找对,建议手跟下试试 2007-10-30 17:08 0
chengyq 雪币： 200 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 13 粉丝 0 关注私信	chengyq 13 楼提问要写清楚呀 2007-10-30 17:11 0
waterct 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	waterct 14 楼入口应该是对的，因为 iat表都显示正确。所有的函数都是有效的。到底是哪里错误呢？ 2007-10-30 17:18 0
waterct 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	waterct 15 楼树文件显示如下： Target: C:\Documents and Settings\tt\桌面\TMD传奇伴侣.exe OEP: 0000389F IATRVA: 00007000 IAT大小: 000000C0 FThunk: 00007000 函数数: 0000002C 1 00007000 kernel32.dll 0198 GetProcAddress 1 00007004 kernel32.dll 0242 LoadLibraryA 1 00007008 kernel32.dll 0032 CloseHandle 1 0000700C kernel32.dll 038C WriteFile 1 00007010 kernel32.dll 0048 CreateDirectoryA 1 00007014 kernel32.dll 01C9 GetTempPathA 1 00007018 kernel32.dll 02A4 ReadFile 1 0000701C kernel32.dll 0307 SetFilePointer 1 00007020 kernel32.dll 0050 CreateFileA 1 00007024 kernel32.dll 0174 GetModuleFileNameA 1 00007028 kernel32.dll 01B0 GetStringTypeA 1 0000702C kernel32.dll 0235 LCMapStringW 1 00007030 kernel32.dll 0234 LCMapStringA 1 00007034 kernel32.dll 0203 HeapAlloc 1 00007038 kernel32.dll 0209 HeapFree 1 0000703C kernel32.dll 0176 GetModuleHandleA 1 00007040 kernel32.dll 01AD GetStartupInfoA 1 00007044 kernel32.dll 010A GetCommandLineA 1 00007048 kernel32.dll 01DB GetVersion 1 0000704C kernel32.dll 00B7 ExitProcess 1 00007050 kernel32.dll 0151 GetEnvironmentVariableA 1 00007054 kernel32.dll 01DC GetVersionExA 1 00007058 kernel32.dll 0207 HeapDestroy 1 0000705C kernel32.dll 0205 HeapCreate 1 00007060 kernel32.dll 036E VirtualFree 1 00007064 kernel32.dll 036B VirtualAlloc 1 00007068 kernel32.dll 020D HeapReAlloc 1 0000706C kernel32.dll 0347 TerminateProcess 1 00007070 kernel32.dll 013C GetCurrentProcess 1 00007074 kernel32.dll 0358 UnhandledExceptionFilter 1 00007078 kernel32.dll 00EF FreeEnvironmentStringsA 1 0000707C kernel32.dll 00F0 FreeEnvironmentStringsW 1 00007080 kernel32.dll 037F WideCharToMultiByte 1 00007084 kernel32.dll 014E GetEnvironmentStrings 1 00007088 kernel32.dll 0150 GetEnvironmentStringsW 1 0000708C kernel32.dll 0255 LockResource 1 00007090 kernel32.dll 01AF GetStdHandle 1 00007094 kernel32.dll 015F GetFileType 1 00007098 kernel32.dll 02C5 RtlUnwind 1 0000709C kernel32.dll 00FE GetCPInfo 1 000070A0 kernel32.dll 00F7 GetACP 1 000070A4 kernel32.dll 018B GetOEMCP 1 000070A8 kernel32.dll 0265 MultiByteToWideChar 1 000070AC kernel32.dll 01B3 GetStringTypeW FThunk: 000070B4 函数数: 00000002 1 000070B4 user32.dll 01DD MessageBoxA 1 000070B8 user32.dll 02D9 wsprintfA 2007-10-30 17:21 0
waterct 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	waterct 16 楼回家之前顶一下，望前辈指点迷津 2007-10-30 19:38 0
wqrsksk 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 569 粉丝 0 关注私信	wqrsksk 17 楼是附加数据的问题这个可以用ECE脱上传的附件：脱壳文件.rar （904.97kb，15次下载）易语言文件.rar （567.46kb，12次下载） 2007-10-30 19:58 0
waterct 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	waterct 18 楼太谢谢 wqrsksk ，不过我还是不明白什么附加数据的问题，能请教下吗？加我QQ，帮忙指导下。真的非常非常期望与感谢。 2007-10-30 20:13 0
waterct 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	waterct 19 楼 wqrsksk 还在吗？ 2007-10-30 20:32 0
waterct 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	waterct 20 楼郁闷，为啥新手不能使用短消息功能呢？kanxue老大 2007-10-30 20:33 0
wopasi 雪币： 184 活跃值： (47) 能力值： ( LV4，RANK：50 ) 在线值：发帖 40 回帖 229 粉丝 0 关注私信	wopasi 1 21 楼附加数据就是保存在文件末的es里的东西脱壳后会连带他一起给脱掉这个修复很简单用overlay吧把附加数据copy进去就ok了 2007-10-31 03:40 0
waterct 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	waterct 22 楼嗯。我找找 overlay 这个工具谢谢 wopasi 2007-10-31 10:05 0
waterct 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	waterct 23 楼嗯。谢谢 wopasi ，我用overlay 搞定了 2007-10-31 13:26 0
阿南雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 51 粉丝 0 关注私信	阿南 24 楼可能是自校验.... 去了就行了 2007-11-2 10:24 0
网络阿牛雪币： 204 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 105 粉丝 0 关注私信	网络阿牛 25 楼软件有附加数据,把数据加上去就行了,好像是易语言的 2007-11-2 17:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

waterct

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
waterct 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	waterct 2 楼由于不能上传附件，截图和破解的文件都不能上传，要是能上传，有朋友跟我一块研究就太好了。 2007-10-30 13:22 0
waterct 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	waterct 3 楼为什么就没有一个老大过来瞅瞅呢？ 2007-10-30 13:50 0
waterct 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	waterct 4 楼现在已经回复11篇帖子了，我测试下是否可以上传附件 2007-10-30 14:06 0
waterct 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	waterct 5 楼图片上传成功，为啥没有自动展现出来？ 2007-10-30 14:20 0
sadsea2004 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 31 粉丝 0 关注私信	sadsea2004 6 楼 importres修复应该修复哪个以UN_开头的文件 2007-10-30 15:00 0
waterct 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	waterct 7 楼谢谢楼上的，我是修复的那个以 UN_开头的文件“un_TMD传奇伴侣.exe”，生成的“un_TMD传奇伴侣_.exe”，但是运行不起来 2007-10-30 15:32 0
waterct 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	waterct 8 楼我究竟错在什么地方？谁能告诉我？ 2007-10-30 15:35 0
天人gdp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	天人gdp 9 楼楼主，找个免费图片上传空间，传上去后，在这写链接就行了，你的问题俺就帮不上忙了! 2007-10-30 15:54 0
waterct 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	waterct 10 楼嗯。谢谢天人。热心的人总是让人很感激 2007-10-30 16:07 0
waterct 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	waterct 11 楼我又尝试了几个用ASProtect 加壳的文件，都是一样的结果。但是用ImportREC 查看时，所有的函数都是有效的。谁能告诉我是什么原因？真的好着急好郁闷。哪位大大帮帮我。万分的谢谢 2007-10-30 16:35 0
sczerg 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 36 粉丝 0 关注私信	sczerg 12 楼个人感觉你的入口点没有找对,建议手跟下试试 2007-10-30 17:08 0
chengyq 雪币： 200 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 13 粉丝 0 关注私信	chengyq 13 楼提问要写清楚呀 2007-10-30 17:11 0
waterct 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	waterct 14 楼入口应该是对的，因为 iat表都显示正确。所有的函数都是有效的。到底是哪里错误呢？ 2007-10-30 17:18 0
waterct 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	waterct 15 楼树文件显示如下： Target: C:\Documents and Settings\tt\桌面\TMD传奇伴侣.exe OEP: 0000389F IATRVA: 00007000 IAT大小: 000000C0 FThunk: 00007000 函数数: 0000002C 1 00007000 kernel32.dll 0198 GetProcAddress 1 00007004 kernel32.dll 0242 LoadLibraryA 1 00007008 kernel32.dll 0032 CloseHandle 1 0000700C kernel32.dll 038C WriteFile 1 00007010 kernel32.dll 0048 CreateDirectoryA 1 00007014 kernel32.dll 01C9 GetTempPathA 1 00007018 kernel32.dll 02A4 ReadFile 1 0000701C kernel32.dll 0307 SetFilePointer 1 00007020 kernel32.dll 0050 CreateFileA 1 00007024 kernel32.dll 0174 GetModuleFileNameA 1 00007028 kernel32.dll 01B0 GetStringTypeA 1 0000702C kernel32.dll 0235 LCMapStringW 1 00007030 kernel32.dll 0234 LCMapStringA 1 00007034 kernel32.dll 0203 HeapAlloc 1 00007038 kernel32.dll 0209 HeapFree 1 0000703C kernel32.dll 0176 GetModuleHandleA 1 00007040 kernel32.dll 01AD GetStartupInfoA 1 00007044 kernel32.dll 010A GetCommandLineA 1 00007048 kernel32.dll 01DB GetVersion 1 0000704C kernel32.dll 00B7 ExitProcess 1 00007050 kernel32.dll 0151 GetEnvironmentVariableA 1 00007054 kernel32.dll 01DC GetVersionExA 1 00007058 kernel32.dll 0207 HeapDestroy 1 0000705C kernel32.dll 0205 HeapCreate 1 00007060 kernel32.dll 036E VirtualFree 1 00007064 kernel32.dll 036B VirtualAlloc 1 00007068 kernel32.dll 020D HeapReAlloc 1 0000706C kernel32.dll 0347 TerminateProcess 1 00007070 kernel32.dll 013C GetCurrentProcess 1 00007074 kernel32.dll 0358 UnhandledExceptionFilter 1 00007078 kernel32.dll 00EF FreeEnvironmentStringsA 1 0000707C kernel32.dll 00F0 FreeEnvironmentStringsW 1 00007080 kernel32.dll 037F WideCharToMultiByte 1 00007084 kernel32.dll 014E GetEnvironmentStrings 1 00007088 kernel32.dll 0150 GetEnvironmentStringsW 1 0000708C kernel32.dll 0255 LockResource 1 00007090 kernel32.dll 01AF GetStdHandle 1 00007094 kernel32.dll 015F GetFileType 1 00007098 kernel32.dll 02C5 RtlUnwind 1 0000709C kernel32.dll 00FE GetCPInfo 1 000070A0 kernel32.dll 00F7 GetACP 1 000070A4 kernel32.dll 018B GetOEMCP 1 000070A8 kernel32.dll 0265 MultiByteToWideChar 1 000070AC kernel32.dll 01B3 GetStringTypeW FThunk: 000070B4 函数数: 00000002 1 000070B4 user32.dll 01DD MessageBoxA 1 000070B8 user32.dll 02D9 wsprintfA 2007-10-30 17:21 0
waterct 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	waterct 16 楼回家之前顶一下，望前辈指点迷津 2007-10-30 19:38 0
wqrsksk 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 569 粉丝 0 关注私信	wqrsksk 17 楼是附加数据的问题这个可以用ECE脱上传的附件：脱壳文件.rar （904.97kb，15次下载）易语言文件.rar （567.46kb，12次下载） 2007-10-30 19:58 0
waterct 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	waterct 18 楼太谢谢 wqrsksk ，不过我还是不明白什么附加数据的问题，能请教下吗？加我QQ，帮忙指导下。真的非常非常期望与感谢。 2007-10-30 20:13 0
waterct 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	waterct 19 楼 wqrsksk 还在吗？ 2007-10-30 20:32 0
waterct 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	waterct 20 楼郁闷，为啥新手不能使用短消息功能呢？kanxue老大 2007-10-30 20:33 0
wopasi 雪币： 184 活跃值： (47) 能力值： ( LV4，RANK：50 ) 在线值：发帖 40 回帖 229 粉丝 0 关注私信	wopasi 1 21 楼附加数据就是保存在文件末的es里的东西脱壳后会连带他一起给脱掉这个修复很简单用overlay吧把附加数据copy进去就ok了 2007-10-31 03:40 0
waterct 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	waterct 22 楼嗯。我找找 overlay 这个工具谢谢 wopasi 2007-10-31 10:05 0
waterct 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	waterct 23 楼嗯。谢谢 wopasi ，我用overlay 搞定了 2007-10-31 13:26 0
阿南雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 51 粉丝 0 关注私信	阿南 24 楼可能是自校验.... 去了就行了 2007-11-2 10:24 0
网络阿牛雪币： 204 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 105 粉丝 0 关注私信	网络阿牛 25 楼软件有附加数据,把数据加上去就行了,好像是易语言的 2007-11-2 17:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复