• aspr脱壳总结
  • 标 题:aspr脱壳总结(部分适用于其他壳保护) (3千字)
  • 作 者:zombieys
  • 时 间:2001-9-14 12:12:46
  • 链 接:http://bbs.pediy.com

aspr脱壳总结(部分适用于其他壳保护)

    首先,能用caspr脱的尽量用它吧,方便,比手动脱的要小,caspr解决不了的那就自己来吧。
    脱aspr壳基本上分4步,如下:

1.寻找入口:

(1)delphi:
    快速寻找入口的方法:执行程序,用prodump选dump(full)脱壳,存为dump.exe。接着用winhex打开dump.exe,选择搜索文本,填runtime,执行搜索,搜到后,向前找到离runtime最近的机器码为55 8B EC的地方就是程序的oep,所以delphi程序的oep最好找了。所以用aspr保护delphi程序的话会使aspr的保护能力减弱一半,入口太好找了。不过delphi程序的crc保护强悍,胜过aspr保护包括winhex9.x,wincmd4.54,tag&rename1.9x,iptools1.xx,host-mon1.3x,其中后两个我还没有搞定,谁知道的话麻烦告诉我一声。

脱壳详情请参考我最近写的

注册Tag&Rename v.1.9.6
注册Tag&Rename v2.0 beta 1
注册Advanced Ra-Renamer v.1.2
脱ASProtect1.2的壳
脱ASPack 2.11的壳

(2)vb:
    快速寻找入口的方法:执行程序,用prodump选dump(full)脱壳,存为dump.exe。接着用winhex打开dump.exe,选择搜索文本,填程序的名字,执行搜索,搜到后,向前找到离名字最近的机器码为68(后面就不一定了,一般很短,不超过20h字节)开头的地方就是程序的oep,所以vb程序的oep也比较好找。只是用asp express压了一下看看,没做更多测试,不好多说啦。


(3)vc:
    无任何规律,慢慢跟吧:(。手动脱壳方法最好熟练掌握,对付任何程序都应该有效吧:),熟悉以后就没问题了。

脱壳详情请参考我刚写的写的

脱壳IglooFTP PRO v3.0的详细过程

(4)其他:
    没试过,不知道了。

2.脱壳:

    最好要从入口处dump,如果不是从入口dump的,一般不能用。再有用prodump dump的程序,需要手动把op改成正确的。用天意,trw或peditor dump的程序稍大。其中天意在我的winme系统下用suspend死机,所以极少用,peditor dump出的程序超大,trw选在入口dump的可以免去手动改ep的麻烦,好像跟prodump脱出来的没区别,就是大了一点。喜欢用哪个看着办吧,caspr脱出来的最小,还有一个叫rad_v06的软件,没试过不太清楚了。再有其他的我就不知道了。

3.重建import table:

    慢工,运气好的话ImportREC自己就能搞定,一般都有一部分需要自己找。需要的专业知识太多了,这方面是我的弱项呀。

4.脱壳后正常运行:

    具体情况具体分析,多数情况下不能正常运行,一般是地址错误引起的,需要和未脱壳的版比较,再修改。

    这里回复一下大师们前面的回贴。hying大哥的回贴,我在这次的"1.寻找入口:"已作了解释。blowfish大虾的回贴,说实话看不明白,是由于我的相关知识太贫乏了吧,慢慢学不着急啦。
    最后再谈一下aspack的壳,这个用ti找到入口,在入口处dump,重建import table一般就可正常运行了。

脱壳详情请参考我最近更新的的

注册你的Windows Commander 4.54

    最后还要感谢hying大哥帮我脱Tag&Rename v.1.9.6的壳才使我下决心突击学习aspr脱壳!
    感谢脱壳前辈们提供所有相关资料!
    感谢各位toye论坛上的cracker们无私提供crack资料!
    感谢toye院长将crack资料一一整理,提供如此方便的快捷的crack交流论坛及为crack事业做出贡献!

全文完
至此学习aspr脱壳告一段落,该休息一下了(休息是指换换别的东西学,要学的东西太多啦,真的受不了了呀~~~~~~~~~~~~~~~~`)

2001.9.14
zombieys[CCG]

———————————————————————————————>
                .-"      "-.      unpacked by zombieys[CCG] >
                /         \      qq:1789655                >
              |      ★    |    http://zombieys.yeah.net  >
              |,  .-.  .-.  ,|    http://zombieys.126.com  >
                |)(__/  \__)(|      zombieys.cn.hongnet.com  >
                |/    /\    \|                                >
      (@_@)    (_    ^^    _)      Thanks for your supports  >
    _  )\_______\__|IIIIII|__/_____                          >
_)@8@8{}<________|-\IIIIII/-|____China Crack Group_zombieys___>