aspr脱壳总结
2007-01-12 20:13:08 来源:WEB开发网aspr脱壳总结(部分适用于其他壳保护)
首先,能用caspr脱的尽量用它吧,方便,比手动脱的要小,caspr解决不了的那就自己来吧。
脱aspr壳基本上分4步,如下:
1.寻找入口:
(1)delphi:
快速寻找入口的方法:执行程序,用prodump选dump(full)脱壳,存为dump.exe。接着用winhex打开dump.exe,选择搜索文本,填runtime,执行搜索,搜到后,向前找到离runtime最近的机器码为55 8B EC的地方就是程序的oep,所以delphi程序的oep最好找了。所以用aspr保护delphi程序的话会使aspr的保护能力减弱一半,入口太好找了。不过delphi程序的crc保护强悍,胜过aspr保护包括winhex9.x,wincmd4.54,tag&rename1.9x,iptools1.xx,host-mon1.3x,其中后两个我还没有搞定,谁知道的话麻烦告诉我一声。
脱壳详情请参考我最近写的
注册Tag&Rename v.1.9.6
注册Tag&Rename v2.0 beta 1
注册Advanced Ra-Renamer v.1.2
脱ASProtect1.2的壳
脱ASPack 2.11的壳
(2)vb:
快速寻找入口的方法:执行程序,用prodump选dump(full)脱壳,存为dump.exe。接着用winhex打开dump.exe,选择搜索文本,填程序的名字,执行搜索,搜到后,向前找到离名字最近的机器码为68(后面就不一定了,一般很短,不超过20h字节)开头的地方就是程序的oep,所以vb程序的oep也比较好找。只是用asp express压了一下看看,没做更多测试,不好多说啦。
(3)vc:
无任何规律,慢慢跟吧:(。手动脱壳方法最好熟练掌握,对付任何程序都应该有效吧:),熟悉以后就没问题了。
脱壳详情请参考我刚写的写的
脱壳IglooFTP PRO v3.0的详细过程
(4)其他:
没试过,不知道了。
2.脱壳:
最好要从入口处dump,如果不是从入口dump的,一般不能用。再有用prodump dump的程序,需要手动把op改成正确的。用天意,trw或peditor dump的程序稍大。其中天意在我的winme系统下用suspend死机,所以极少用,peditor dump出的程序超大,trw选在入口dump的可以免去手动改ep的麻烦,好像跟prodump脱出来的没区别,就是大了一点。喜欢用哪个看着办吧,caspr脱出来的最小,还有一个叫rad_v06的软件,没试过不太清楚了。再有其他的我就不知道了。
3.重建import table:
慢工,运气好的话ImportREC自己就能搞定,一般都有一部分需要自己找。需要的专业知识太多了,这方面是我的弱项呀。
4.脱壳后正常运行:
具体情况具体分析,多数情况下不能正常运行,一般是地址错误引起的,需要和未脱壳的版比较,再修改。
这里回复一下大师们前面的回贴。hying大哥的回贴,我在这次的"1.寻找入口:"已作了解释。blowfish大虾的回贴,说实话看不明白,是由于我的相关知识太贫乏了吧,慢慢学不着急啦。
最后再谈一下aspack的壳,这个用ti找到入口,在入口处dump,重建import table一般就可正常运行了。
赞助商链接