手脱ASProtect1.23 RC4

时间:2017-03-15 12:25:25
【文件属性】:

文件名称:手脱ASProtect1.23 RC4

文件大小:18.95MB

文件格式:ZIP

更新时间:2017-03-15 12:25:25

脱壳 ASProtect 1,23

1.OEP 2.解密IMPORT 3.修复STOLEN CODE 1.OEP比较好找,断到最后一次异常后开始单步跟踪,最终一个跨段转移就到了入口,但是是被STOLEN之后的入口了,STOLEN CODE在转移之前就已经被执行。 2.ASPR1.23RC4对KERNEL32.DLL里的API做了IAT HOOK,所以需要将其IAT HOOK去掉进行还原,然后IAT表里不同DLL的函数地址表应该是用0来分隔,但是ASPR用了随机数,这里要清0,还有个别的API是将API代码COPY到程序中直接使用,这里搞明白是啥API就可以修复了。经过以上步骤就修复了IAT。 3.修复STOLEN CODE需要了解编译器入口代码的特征,才好确定STOLEN了哪些代码。 技巧 利用IMPORT REC的 Adcanced Commands ->Get API Calls来搜索"Get 'Call [X] scheme'"其实也就是FF 15标志,这样来定位调用API的位置,找其规律,脚本或者程序进行批量修复。或者利用Import REC的TRACE LEVEL来进行识别,但是似乎有识别错的,可能不一定靠谱。


【文件预览】:
23、手脱ASProtect1.23 RC4
----录像1.exe(17.84MB)
----新建 文本文档.txt(6KB)
----sow_gamer.dat(17B)
----SoWorker_cn_hero.exe(1.76MB)

网友评论