|
发表于 2009-11-4 11:15:57
|显示全部楼层
1. Emulate standard system functions(易)
2. Advanced Import protection(中)
3. Stolen OEP (脱Asprotect难点就在这,体力+毅力+技巧+时间)
4. SDK (脱Asprotect难点就在这,体力+毅力+技巧+时间)
5. 初始化表与库函数(Delphi程序)(易)
手动甚为麻烦
我们借助脚本来完成前面2步
需要注意的
1、脚本运行完成之后,如果在KERNEL32函数范围内有个别分散的函数没有修复。GetProcAddress
2、如果不在KERNEL32函数范围内并且集中有2个以上函数没有修复,那就是需要修复SDK,如GetHardwareID,CheckKeyAndDecrypt,GetRegistrationKeys,GetModeInformation,GetRegistrationInformation,这些都是ASP的API,我们需要手动修复,看学站长近期发表了一篇文章,甚为详细!
现在是第3步了,现在还没有很理想的手段完全可以修复Stolen OEP,我们现在介绍的方法是补区段
我们现在需要做的
1、利用脚本处理IAT,到达Stolen OEP'Start
2、脱壳抓取
3、分析Stolen区段(Stolen Code、VM、Route Check)
Stolen Code
01600521
016C0000
VM
ebx=013E84FC
Route Check
eax=015D0000
一般的补区段的顺序
VM(2个)
Route Check(1个)
Stolen Code(一般是>10个)
4、补区段
5、修复Route Check
6、部分程序还有自校验(如果不能运行的话) |
|