下載:http://newhua.myrice.com/down/aat40a.zip
脫!脫!脫! ------ 眾人曰:"還在脫啊!脫光了沒!" 答:"還剩一條褲衩"
脫殼 ----- AATools v4.0.0.596 (全稱:Advanced Administrative Tools)
【前言】
我寫文章以交流為主,希望大家在轉載時保持文章的完整性。
多日對Asprotect v1.0加殼的程式做戰未果,好容易有點收穫。興奮到了極點。晚上奮起神勇,挑燈做戰。(老爸在一旁怒吼:"幾點了,還不睡,想成仙呀!")。俺姓李,最多隻能成半仙,如果俺姓胡就不同了。胡仙......呵呵。
樣例檔案: AATools.exe (主程式檔案)
加殼方式: ASProtect + ASPack v1.084
檢測工具: FileInfo
脫殼工具: SoftICE v4.05,ICEPatch v2.0,ICEDump 1.061,ProcDump
1.62,Imp_list(這是一個好東東哦!URL http://www.reversing.net/TOOLS/016/Imp_list.exe)
目標要求: 脫殼
作者: 你看著辦吧 ---- 陳小二語
日期: 2000-08-04
在《找Entry Point的又一方法 -----針對Asprotect v1.0加殼的程式》一文中我已說明了找Entry Point的方法。(補充:Ding.Boy大蝦寫了BWW2000可以快速找到Entry
Point,強烈推薦,URL http://202.103.134.11/~fsdb/bww.zip)。這裡剩下的事就不多了。我再說兩句了。
1、首先,當然少不了用ProcDump來分析一下對我們有用的檔案資訊。
Entry Point: 00222001
Size of image: 00239000
Image Base: 00400000
1、找到Entry Point,在入口處下指令
/dump 400000 239000 c:\temp\dump.exe
2、好,按F5鍵,程式執行。這時執行Imp_list。單擊Rebuild import,片刻,Imp_list會在工作目錄下形成四個檔案。分別是
Import0.bin
Import1.bin
Import2.bin
Address.txt
怎麼樣,簡單吧。這樣就Dump出了import table。
3、用ProcDump修改dump.exe。改各Section的Offset為RVA大小,PSize為VSize大小。改Entry Point為1764C0,改Directory中的Import
Table的RVA為17D000,大小為3400。
4、最後別忘了把dump.exe中偏移17D000開始的位元組用Import0.bin替換掉。執行OK!
【後記】
這裡說兩句,首先在看雪的Crack教學中我知道cloundnumer9兄已經成功脫殼了(他的方法我沒試過),然後IceWorld大蝦在看雪論壇下一貼,既脫殼又破解了。最後才是我趕上這班車。因為開始我用手動脫殼的方法在重建import
table上遇到了很大的困難,後來找一工具才幫我度過難關。有興趣手動脫殼的朋友不妨一試,如果你有好方法可以重建import table,一定要告訴我哦!Imp_list這個工具可不是百試百靈的,不信你試試對AZPR
v3.11和ARPR v1.0脫殼試試。
以前我總喜歡在後記中加入自已的一些問題,希望大家幫幫忙,幫我解決。可是一直沒有回應。所以這次就不寫什麼問題了。當然如果誰對加殼、脫殼有興趣,可以和我交個朋友。Email:ljtt@yeah.net。