这是猛壳第一帖~我将带大家逐步学习手拖ASPR~我会坚持下去给大家做一套这类教程~
首先PEID查壳:ASProtect 1.23 RC4 - 1.3.08.24 -> Alexey
Solodovnikov
复制内容到剪贴板
00401000 > 68 01D04000 PUSH NOTEPADy.0040D001
00401005 E8 01000000 CALL NOTEPADy.0040100B
0040100A C3 RETN
0040100B C3 RETN 入口特征
0040100C 72 79 JB SHORT NOTEPADy.00401087
0040100E BD 1E8EF67C MOV EBP,7CF68E1E
00401013 871E XCHG DWORD PTR DS:[ESI],EBX
00401015 89BD 723363B2 MOV DWORD PTR SS:[EBP+B2633372],EDI
0040101B B1 39 MOV CL,39
0040101D 75 07 JNZ SHORT NOTEPADy.00401026
0040101F 8C81 AFC4B660 MOV WORD PTR DS:[ECX+60B6C4AF],ES
1.jpg (10.78 KB)
2007-11-25 10:11
大家设置一下OD~我教大家如何调试~如上图~
CTRL+F2重新载入~~然后按SHIFT+F9运行~直到程序运行
然后ALT+L查看记录~数一下
复制内容到剪贴板
Log data, 项目 66地址=00D541A4
消息=访问违例: 写入到 [00000000]
Log data, 项目 14
地址=00D51B84
消息=INT3 命令位于 00D51B84
大家数一下看有多少个` 记录下来~
这个就是调试多少次运行~根据记录数~就可以知道记录数的下一次程序就会运行~
重新载入~
我们SHIFT+F9~直到最后一次
我们在这个断尾(第一个RETN)下F2断点,shift+f9,f2取消断点。(或者Ctrl+G来到堆栈SE句柄处,然后F2,shift+f9,f2取消断点)OEP如果有乱序现象这说明解码没有完全,我们可以Ctrl+G来到伪OEP处先进行分析。再就是ALT+M`找到00401000 再下F2断点,shift+f9
这就到达OEP了~直接 脱壳.然后修复.(跟踪级别1)有些程序OEP可能被偷了~这里就要找回~至于如何找回就不在本节课说了
您当前的位置:
减小字体
增大字体