用OllyDbg脱ASPR 1.3x的壳

　2007-01-13 20:12:43　来源：WEB开发网　　　

核心提示： 记下它们，以后会有用的…关闭OLLY…目前是不需要它啦…=第三步－重建IAT＝=1. 首先运行软件，用OllyDbg脱ASPR 1.3x的壳(5)，等候它被载入，2. 运行Imprec，从列表中选择进程，3. 按"IAT AutoSear

记下它们，以后会有用的…

关闭OLLY…

目前是不需要它啦…

=============================　

第三步－重建IAT＝

=============================　

1. 首先运行软件，等候它被载入。　

2. 运行Imprec，从列表中选择进程。　

3. 按"IAT AutoSearch"　

4. 把大小从"BC"修改为1000（BC太小了！！）　

5. 按"Get Imports"　

6. 按"Show Invalid"　

7. 在显示无效的项目上右击鼠标，选择"Trace level 1"　

8. 再次按"Show Invalid"…现在我们应该得到下面的东西：　

（从保存的树中剪切）

　FThunk: 0019E258　　NbFunc: 00000400　
　1　　0019E258　　kernel32.dll　　00D6　　DeleteCriticalSection　
　1　　0019E25C　　kernel32.dll　　0228　　LeaveCriticalSection　
　................　
　省略－省略
　................　
　1　　0019E2A4　　kernel32.dll　　01D1　　GetThreadLocale　
　1　　0019E2A8　　kernel32.dll　　01B9　　GetStartupInfoA　
　0　　0019E2AC　　?　　0000　　017E0F2C　　　　　　<-- good　
　0　　0019E2B0　　?　　0000　　017E139C　　　　　　<-- good　
　1　　0019E2B4　　kernel32.dll　　018B　　GetModuleFileNameA　
　1　　0019E2B8　　kernel32.dll　　0183　　GetLocaleInfoA　
　1　　0019E2BC　　kernel32.dll　　0181　　GetLastError　
　1　　0019E2C0　　kernel32.dll　　0158　　GetCurrentDirectoryA　
　0　　0019E2C4　　?　　0000　　017E1408　　　　　　<-- good　
　1　　0019E2C8　　kernel32.dll　　0133　　FreeLibrary　
　1　　0019E2CC　　kernel32.dll　　011C　　FindFirstFileA　
　..................　
　省略－省略
　..................　
　1　　0019E314　　kernel32.dll　　00A0　　CloseHandle　
　0　　0019E318　　?　　0000　　0255A00E　　　　　　<-- BAD　
　1　　0019E31C　　user32.dll　　0112　　GetKeyboardType　
　1　　0019E320　　user32.dll　　019F　　LoadStringA　
　1　　0019E324　　user32.dll　　01AD　　MessageBoxA　
　1　　0019E328　　user32.dll　　0026　　CharNextA　
　0　　0019E32C　　?　　0000　　70F7D832　　　　　　<-- BAD　
　1　　0019E330　　advapi32.dll　　00F7　　RegQueryvalueExA　
　1　　0019E334　　advapi32.dll　　00EF　　RegOpenKeyExA　
　1　　0019E338　　advapi32.dll　　00D8　　RegCloseKey　
　0　　0019E33C　　?　　0000　　F37514C2　　　　　　<-- BAD　
　1　　0019E340　　oleaut32.dll　　0006　　SysFreeString　
　1　　0019E344　　oleaut32.dll　　0005　　SysReAllocStringLen　
　1　　0019E348　　oleaut32.dll　　0004　　SysAllocStringLen　
　0　　0019E34C　　?　　0000　　4007F56E　　　　　　<-- BAD　
　1　　0019E350　　kernel32.dll　　0307　　TlsSetvalue　
　1　　　　0019E354　　kernel32.dll　　0306　　TlsGetvalue　
　1　　0019E358　　kernel32.dll　　01E6　　GlobalAlloc　
　0　　0019E35C　　?　　0000　　017E139C　　　　　　<-- good　
　0　　0019E360　　?　　0000　　BF57C0D8　　　　　　<-- BAD　
　.......................　
　省略－省略　
　.......................