ASPROtect 1.22加壳的Customizer XP1.7.9 beta 2脱壳(超简单)
crack by fwnl
软件主页:http://www.tweaknow.com/
软件简介:
Customizer XP 是为 Windows 2000 及 XP 设计的系统性能优化工具。软件的用户界面十分清爽,它可以让你查看并修改
Windows 中隐藏
的设置选项,你只需点击相应复选框即可。Customizer XP 可以让你的 Internet 访问速度大大提高,仅仅需要点击相应按钮,软件会自动显
示推荐使用的数值。Customizer XP 同样提供了许多附加的 Windows 修改选项,例如:选择不同登录时显示不同的背景,发生错误时自动重启
Windows 资源管理器以免造成你的工作成果丢失等。
(要在winn2000/xp下安装程序)
一.找入口点
由于是delphi程序,所以利用快速寻找aspr入口的方法:
执行Customizer,用prodump选dump(full)脱壳,存为dump.exe。接着用UltraEdit32打开dump.exe,ALT+F3,填runtime,选中查找ASCⅡ,执
行搜索,搜到后,向上查找离runtime最近的机器码为55 8B
EC的地方就是程序的oep,而在AhaView.exe里这个位置在offset:0016b240处,用peditor的flc功能将它转换为virtual
address就是0056bc40----oep。
二.用trw2000初步脱壳
下面要在入口处脱壳,打开SuperBPM,点erase,用trw载入Customizer XP,下g 56bc40,接着下pedump脱出程序.
三.修复import table
打开原加壳程序,在Import REConstructor v1.4.2+
的 Attach to an Active Process 窗口中选取Customizer的进程,然后在下方的oep
处填入0016bc40,点IAI
AutoSearch,再点Get Imports 然后点Show Invalid,在Imported Functions Found窗口里的无效地址上点鼠标右键,选
Trace Leve11(disasm),再点show invaids,发现还有几个没有修复,再次在那几个没有修复的地址上点鼠标右键.
选中Plugin Tracer(Asprotect 1.2X Emul),再点show invaids应发现所有的dll显示 valid:Yes了。然后点Fix
Dump,选中你用trw2000
pedump出的文件修复.
呵呵,这样程序就脱壳了,是不是超简单.主要是作者不会用ASPR,今天的最新版没加壳了,不知是不是作者在研究ASPR的加壳呀
这个公司还有个软件RAM Idle Pro 的脱法也是一样,呵呵
fwnl
Beginner's Cracking Group
The Free Cracking Group Of China
2002.4.2
长沙
- 标 题:ASPROTECT 1.22加壳的Customizer XP1.7.9 beta 2脱壳(超简单) (2千字)
- 作 者:fwnl
- 时 间:2002-4-2 21:15:04
- 链 接:http://bbs.pediy.com