首先
能用caspr脱
尽量用它吧方便比手动脱要小caspr解决不了那就自己来吧
脱aspr壳基本上分4步
如下:1.寻找入口:
(1)delphi:
快速寻找入口
思路方法:执行
用prodump选dump(full)脱壳,存为dump.exe接着用winhex打开dump.exe选择搜索文本填runtime,执行搜索搜到后,向前找到离runtime最近机器码为55 8B EC地方就是oep所以delphioep最好找了所以用aspr保护delphi话会使aspr保护能力减弱
半入口太好找了不过delphicrc保护强悍胜过aspr保护包括winhex9.xwincmd4.54tag&rename1.9xiptools1.xx,host-mon1.3x其中后两个我还没有搞定谁知道话麻烦告诉我声脱壳详情请参考我最近写
注册Tag&Rename v.1.9.6
注册Tag&Rename v2.0 beta 1
注册Advanced Ra-Renamer v.1.2
脱ASProtect1.2
壳脱ASPack 2.11
壳(2)vb:
快速寻找入口
思路方法:执行用prodump选dump(full)脱壳,存为dump.exe接着用winhex打开dump.exe选择搜索文本填名字,执行搜索搜到后,向前找到离名字最近机器码为68(后面就不定了般很短不超过20h字节)开头地方就是oep所以vboep也比较好找只是用asp express压了下看看没做更多测试不好多说啦(3)vc:
无任何规律
慢慢跟吧:(手动脱壳思路方法最好熟练掌握对付任何都应该有效吧:)熟悉以后就没问题了脱壳详情请参考我刚写
写脱壳IglooFTP PRO v3.0
详细过程(4)其他:
没试过
不知道了2.脱壳:
最好要从入口处dump
如果不是从入口dump般不能用再有用prodump dump需要手动把op改成正确用天意,trw或peditor dump稍大其中天意在我winme系统下用suspend死机所以极少用peditor dump出超大trw选在入口dump可以免去手动改ep麻烦好像跟prodump脱出来没区别就是大了点喜欢用哪个看着办吧caspr脱出来最小还有个叫rad_v06软件Software没试过不太清楚了再有其他我就不知道了3.重建import table:
慢工
运气好话ImportREC自己就能搞定般都有部分需要自己找需要专业知识太多了这方面是我弱项呀4.脱壳后正常运行:
具体情况具体分析
多数情况下不能正常运行般是地址
引起需要和未脱壳版比较再修改这里回复
下大师们前面回贴hying大哥回贴我在这次"1.寻找入口:"已作了解释blowfish大虾回贴说实话看不明白是由于我相关知识太贫乏了吧慢慢学不着急啦最后再谈
下aspack壳这个用ti找到入口在入口处dump重建import table般就可正常运行了
最新评论