-
-
[分享]菜鸟脚本之ASProtect 2.3 SKE 之Word文档加密器5.0简单脱壳
-
发表于: 2009-5-12 01:50
-
最近手边的工作告一段落,于是学习一下用脚本脱ASProtect的壳。从硬盘里翻出以前下的一个没来得及学习的ASProtect保护程序,使用VoLX大侠的Aspr2.XX_unpacker_v1.0SC.osc,顺利跑完,提示有偷代码,转存已完成。用 import ReconStructor载入修复输入表,修复抓取后目标程序成功运行。在此膜拜一下VoLX大侠
1、查壳
显示为 ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov
继续用ver0.15查壳显示如下
显示为 Version: ASProtect 2.3 SKE build 06.26 Beta [Extract]
最终确认一下,拿出shoooo大侠的的ASPrINF
放心了。
2、脱壳
用OD加载,提示加密,按取消,停在下面
不管它,直接加载脚本,选择Aspr2.XX_unpacker_v1.0SC.osc。
脚本跑完,提示有偷窃代码,看看文件夹下多了一个de_WordEncrypt5.0(080118).exe,dump成功。然后Alt+L打开log窗口,看到如下
3、修复
拿出修复利器import ReconStructor,根据上面LOG显示的数据,填写到相应位置。
填写完成后点自动搜索,可以看到所有函数都是有效的:
然后抓取文件,选择刚才dump出的那个de_WordEncrypt5.0(080118).exe文件
转存成功!运行一下看看:
可以正常运行。再看看,已经显示无壳了。到这里,除了成功的喜悦外,更多的,还是对牛人VoLX的技术和功能强大的脚本膜拜。
1、查壳
显示为 ASProtect 1.2x - 1.3x [Registered] -> Alexey Solodovnikov
继续用ver0.15查壳显示如下
显示为 Version: ASProtect 2.3 SKE build 06.26 Beta [Extract]
最终确认一下,拿出shoooo大侠的的ASPrINF
放心了。
2、脱壳
用OD加载,提示加密,按取消,停在下面
不管它,直接加载脚本,选择Aspr2.XX_unpacker_v1.0SC.osc。
脚本跑完,提示有偷窃代码,看看文件夹下多了一个de_WordEncrypt5.0(080118).exe,dump成功。然后Alt+L打开log窗口,看到如下
3、修复
拿出修复利器import ReconStructor,根据上面LOG显示的数据,填写到相应位置。
填写完成后点自动搜索,可以看到所有函数都是有效的:
然后抓取文件,选择刚才dump出的那个de_WordEncrypt5.0(080118).exe文件
转存成功!运行一下看看:
可以正常运行。再看看,已经显示无壳了。到这里,除了成功的喜悦外,更多的,还是对牛人VoLX的技术和功能强大的脚本膜拜。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
