aspr脫殼總結(部分適用於其他殼保護)
首先,能用caspr脫的儘量用它吧,方便,比手動脫的要小,caspr解決不了的那就自己來吧。
脫aspr殼基本上分4步,如下:
1.尋找入口:
(1)delphi:
快速尋找入口的方法:執行程式,用prodump選dump(full)脫殼,存為dump.exe。接著用winhex開啟dump.exe,選擇搜尋文字,填runtime,執行搜尋,搜到後,向前找到離runtime最近的機器碼為55
8B EC的地方就是程式的oep,所以delphi程式的oep最好找了。所以用aspr保護delphi程式的話會使aspr的保護能力減弱一半,入口太好找了。不過delphi程式的crc保護強悍,勝過aspr保護包括winhex9.x,wincmd4.54,tag&rename1.9x,iptools1.xx,host-mon1.3x,其中後兩個我還沒有搞定,誰知道的話麻煩告訴我一聲。
脫殼詳情請參考我最近寫的
註冊Tag&Rename v.1.9.6
註冊Tag&Rename
v2.0 beta 1
註冊Advanced Ra-Renamer v.1.2
脫ASProtect1.2的殼
脫ASPack
2.11的殼
(2)vb:
快速尋找入口的方法:執行程式,用prodump選dump(full)脫殼,存為dump.exe。接著用winhex開啟dump.exe,選擇搜尋文字,填程式的名字,執行搜尋,搜到後,向前找到離名字最近的機器碼為68(後面就不一定了,一般很短,不超過20h位元組)開頭的地方就是程式的oep,所以vb程式的oep也比較好找。只是用asp
express壓了一下看看,沒做更多測試,不好多說啦。
(3)vc:
無任何規律,慢慢跟吧:(。手動脫殼方法最好熟練掌握,對付任何程式都應該有效吧:),熟悉以後就沒問題了。
脫殼詳情請參考我剛寫的寫的
脫殼IglooFTP PRO v3.0的詳細過程
(4)其他:
沒試過,不知道了。
2.脫殼:
最好要從入口處dump,如果不是從入口dump的,一般不能用。再有用prodump
dump的程式,需要手動把op改成正確的。用天意,trw或peditor dump的程式稍大。其中天意在我的winme系統下用suspend當機,所以極少用,peditor
dump出的程式超大,trw選在入口dump的可以免去手動改ep的麻煩,好像跟prodump脫出來的沒區別,就是大了一點。喜歡用哪個看著辦吧,caspr脫出來的最小,還有一個叫rad_v06的軟體,沒試過不太清楚了。再有其他的我就不知道了。
3.重建import table:
慢工,運氣好的話ImportREC自己就能搞定,一般都有一部分需要自己找。需要的專業知識太多了,這方面是我的弱項呀。
4.脫殼後正常執行:
具體情況具體分析,多數情況下不能正常執行,一般是地址錯誤引起的,需要和未脫殼的版比較,再修改。
這裡回覆一下大師們前面的回貼。hying大哥的回貼,我在這次的"1.尋找入口:"已作了解釋。blowfish大蝦的回貼,說實話看不明白,是由於我的相關知識太貧乏了吧,慢慢學不著急啦。
最後再談一下aspack的殼,這個用ti找到入口,在入口處dump,重建import table一般就可正常執行了。
脫殼詳情請參考我最近更新的的
註冊你的Windows Commander 4.54
最後還要感謝hying大哥幫我脫Tag&Rename v.1.9.6的殼才使我下決心突擊學習aspr脫殼!
感謝脫殼前輩們提供所有相關資料!
感謝各位toye論壇上的cracker們無私提供crack資料!
感謝toye院長將crack資料一一整理,提供如此方便的快捷的crack交流論壇及為crack事業做出貢獻!
全文完
至此學習aspr脫殼告一段落,該休息一下了(休息是指換換別的東西學,要學的東西太多啦,真的受不了了呀~~~~~~~~~~~~~~~~`)
2001.9.14
zombieys[CCG]
―――――――――――――――――――――――――――――――>
.-" "-.
unpacked by zombieys[CCG] >
/ \ qq:1789655
>
| ★ | http://zombieys.yeah.net
>
|, .-. .-.
,| http://zombieys.126.com >
|)(__/ \__)(| zombieys.cn.hongnet.com
>
|/
/\ \|
>
(@_@)
(_ ^^ _) Thanks for your
supports >
_ )\_______\__|IIIIII|__/_____
>
_)@8@8{}<________|-\IIIIII/-|____China Crack Group_zombieys___>