标题:NotePro 1.57 脱壳之简版(Asprotect 1.2se)
下载URL = http://download.21cn.com/file/utility/bianji/noteproV1.57.zip
Calculating hash of 978432 bytes file `C:\Program Files\NotePro\notepro.exe`...
MD5 : 57322E435C1E39F7BECA3585D5E05D50
CRC-32 : FEE836FF
------------------------------------------------
[重要资料]
Entry Point : 001012
ImageBase : 400000
IAT Start RVA : 1C1150
IAT Length : 1174 (ImpREC)
------------------------------------------------
[使用工具]
于win98se 中使用:TRW2000v1.23, SuperBPM ,ImpREC1.2beta2.
[脱壳]
1)运行SuperBPM,并选择Erase
2)运行TRW2000,用"Load" 调入notepro.exe。
3)在TRW中,下bpx 401012 (即上面的EntryPoint+ImageBase) , 再按F5
4)最后会在 401012 处停下。
5)bc * ,再用 pedump c:\notedump.exe ,再F5
6)到此脱壳完毕。 (无需关闭notepro.exe)
[修复ImportTable]
1)打开ImpREC , 调入 notepro.exe
2)在左下角的IAT Infos needed 添入资料:
OEP : 001012
RVA : 400000
Size : 1C1150
直接按"GetImport" 钮。
3)用ShowInvalids钮及鼠标右键来修复剩余的函数名。
4)最后还有 5 个地址不能修复,需要手工填入。它们皆属于KERNEL32.dll
它们是:FreeResource, GetCommandLineA, GetCurrentProcessId, GetVersion, LockResource
5)所有函数名修复后,按FixDump(使用缺省选项)来修复我们dumped 出来的 "notedump.exe"
6)完毕。将notedump_.exe 拷贝到 notepro的目录中。notedump_.exe 可以正常运行。
- 标 题:标题:NotePro 1.57 脱壳之简版(Asprotect 1.2se) (1千字)
- 作 者:SayYes!
- 时 间:2001-5-13 20:32:35
- 链 接:http://bbs.pediy.com