aspr脱壳整理总结(部分适用于其他壳保护)
首先
![](/icons/72435dou.gif)
能用caspr脱
![](/icons/72435de.gif)
尽量用它吧
![](/icons/72435dou.gif)
方便
![](/icons/72435dou.gif)
比手动脱
![](/icons/72435de.gif)
要小
![](/icons/72435dou.gif)
caspr解决不了
![](/icons/72435de.gif)
那就自己来吧
![](/icons/72435dou2.gif)
脱aspr壳基本上分4步
![](/icons/72435dou.gif)
如下:
1.寻找入口:
(1)delphi:
快速寻找入口
![](/icons/72435de.gif)
思路方法:执行
![](/icons/72435chengxu.gif)
![](/icons/72435dou.gif)
用prodump选dump(full)脱壳,存为dump.exe
![](/icons/72435dou2.gif)
接着用winhex打开dump.exe
![](/icons/72435dou.gif)
选择搜索文本
![](/icons/72435dou.gif)
填runtime,执行搜索
![](/icons/72435dou.gif)
搜到后,向前找到离runtime最近
![](/icons/72435de.gif)
机器码为55 8B EC
![](/icons/72435de.gif)
地方就是
![](/icons/72435chengxu.gif)
![](/icons/72435de.gif)
oep
![](/icons/72435dou.gif)
所以delphi
![](/icons/72435chengxu.gif)
![](/icons/72435de.gif)
oep最好找了
![](/icons/72435dou2.gif)
所以用aspr保护delphi
![](/icons/72435chengxu.gif)
![](/icons/72435de.gif)
话会使aspr
![](/icons/72435de.gif)
保护能力减弱
![](/icons/72435yi.gif)
半
![](/icons/72435dou.gif)
入口太好找了
![](/icons/72435dou2.gif)
不过delphi
![](/icons/72435chengxu.gif)
![](/icons/72435de.gif)
crc保护强悍
![](/icons/72435dou.gif)
胜过aspr保护包括winhex9.x
![](/icons/72435dou.gif)
wincmd4.54
![](/icons/72435dou.gif)
tag&rename1.9x
![](/icons/72435dou.gif)
iptools1.xx,host-mon1.3x
![](/icons/72435dou.gif)
其中后两个我还没有搞定
![](/icons/72435dou.gif)
谁知道
![](/icons/72435de.gif)
话麻烦告诉我
![](/icons/72435yi.gif)
声
![](/icons/72435dou2.gif)
脱壳详情请参考我最近写
![](/icons/72435de.gif)
注册Tag&Rename v.1.9.6
注册Tag&Rename v2.0 beta 1
注册Advanced Ra-Renamer v.1.2
脱ASProtect1.2
![](/icons/72435de.gif)
壳
脱ASPack 2.11
![](/icons/72435de.gif)
壳
(2)vb:
快速寻找入口
![](/icons/72435de.gif)
思路方法:执行
![](/icons/72435chengxu.gif)
![](/icons/72435dou.gif)
用prodump选dump(full)脱壳,存为dump.exe
![](/icons/72435dou2.gif)
接着用winhex打开dump.exe
![](/icons/72435dou.gif)
选择搜索文本
![](/icons/72435dou.gif)
填
![](/icons/72435chengxu.gif)
![](/icons/72435de.gif)
名字,执行搜索
![](/icons/72435dou.gif)
搜到后,向前找到离名字最近
![](/icons/72435de.gif)
机器码为68(后面就不
![](/icons/72435yi.gif)
定了
![](/icons/72435dou.gif)
![](/icons/72435yi.gif)
般很短
![](/icons/72435dou.gif)
不超过20h字节)开头
![](/icons/72435de.gif)
地方就是
![](/icons/72435chengxu.gif)
![](/icons/72435de.gif)
oep
![](/icons/72435dou.gif)
所以vb
![](/icons/72435chengxu.gif)
![](/icons/72435de.gif)
oep也比较好找
![](/icons/72435dou2.gif)
只是用asp express压了
![](/icons/72435yi.gif)
下看看
![](/icons/72435dou.gif)
没做更多测试
![](/icons/72435dou.gif)
不好多说啦
![](/icons/72435dou2.gif)
(3)vc:
无任何规律
![](/icons/72435dou.gif)
慢慢跟吧:(
![](/icons/72435dou2.gif)
手动脱壳思路方法最好熟练掌握
![](/icons/72435dou.gif)
对付任何
![](/icons/72435chengxu.gif)
都应该有效吧:)
![](/icons/72435dou.gif)
熟悉以后就没问题了
![](/icons/72435dou2.gif)
脱壳详情请参考我刚写
![](/icons/72435de.gif)
写
![](/icons/72435de.gif)
脱壳IglooFTP PRO v3.0
![](/icons/72435de.gif)
详细过程
(4)其他:
没试过
![](/icons/72435dou.gif)
不知道了
![](/icons/72435dou2.gif)
2.脱壳:
最好要从入口处dump
![](/icons/72435dou.gif)
如果不是从入口dump
![](/icons/72435de.gif)
![](/icons/72435dou.gif)
![](/icons/72435yi.gif)
般不能用
![](/icons/72435dou2.gif)
再有用prodump dump
![](/icons/72435de.gif)
![](/icons/72435chengxu.gif)
![](/icons/72435dou.gif)
需要手动把op改成正确
![](/icons/72435de.gif)
![](/icons/72435dou2.gif)
用天意,trw或peditor dump
![](/icons/72435de.gif)
![](/icons/72435chengxu.gif)
稍大
![](/icons/72435dou2.gif)
其中天意在我
![](/icons/72435de.gif)
winme系统下用suspend死机
![](/icons/72435dou.gif)
所以极少用
![](/icons/72435dou.gif)
peditor dump出
![](/icons/72435de.gif)
![](/icons/72435chengxu.gif)
超大
![](/icons/72435dou.gif)
trw选在入口dump
![](/icons/72435de.gif)
可以免去手动改ep
![](/icons/72435de.gif)
麻烦
![](/icons/72435dou.gif)
好像跟prodump脱出来
![](/icons/72435de.gif)
没区别
![](/icons/72435dou.gif)
就是大了
![](/icons/72435yi.gif)
点
![](/icons/72435dou2.gif)
喜欢用哪个看着办吧
![](/icons/72435dou.gif)
caspr脱出来
![](/icons/72435de.gif)
最小
![](/icons/72435dou.gif)
还有
![](/icons/72435yi.gif)
个叫rad_v06
![](/icons/72435de.gif)
软件Software
![](/icons/72435dou.gif)
没试过不太清楚了
![](/icons/72435dou2.gif)
再有其他
![](/icons/72435de.gif)
我就不知道了
![](/icons/72435dou2.gif)
3.重建import table:
慢工
![](/icons/72435dou.gif)
运气好
![](/icons/72435de.gif)
话ImportREC自己就能搞定
![](/icons/72435dou.gif)
![](/icons/72435yi.gif)
般都有
![](/icons/72435yi.gif)
部分需要自己找
![](/icons/72435dou2.gif)
需要
![](/icons/72435de.gif)
专业知识太多了
![](/icons/72435dou.gif)
这方面是我
![](/icons/72435de.gif)
弱项呀
![](/icons/72435dou2.gif)
4.脱壳后正常运行:
具体情况具体分析
![](/icons/72435dou.gif)
多数情况下不能正常运行
![](/icons/72435dou.gif)
![](/icons/72435yi.gif)
般是地址
![](/icons/72435cuowu.gif)
引起
![](/icons/72435de.gif)
![](/icons/72435dou.gif)
需要和未脱壳
![](/icons/72435de.gif)
版比较
![](/icons/72435dou.gif)
再修改
![](/icons/72435dou2.gif)
这里回复
![](/icons/72435yi.gif)
下大师们前面
![](/icons/72435de.gif)
回贴
![](/icons/72435dou2.gif)
hying大哥
![](/icons/72435de.gif)
回贴
![](/icons/72435dou.gif)
我在这次
![](/icons/72435de.gif)
"1.寻找入口:"已作了解释
![](/icons/72435dou2.gif)
blowfish大虾
![](/icons/72435de.gif)
回贴
![](/icons/72435dou.gif)
说实话看不明白
![](/icons/72435dou.gif)
是由于我
![](/icons/72435de.gif)
相关知识太贫乏了吧
![](/icons/72435dou.gif)
慢慢学不着急啦
![](/icons/72435dou2.gif)
最后再谈
![](/icons/72435yi.gif)
下aspack
![](/icons/72435de.gif)
壳
![](/icons/72435dou.gif)
这个用ti找到入口
![](/icons/72435dou.gif)
在入口处dump
![](/icons/72435dou.gif)
重建import table
![](/icons/72435yi.gif)
般就可正常运行了
延伸阅读
最新评论