Runtime Software NtExplorer 脱壳
本帖最后由 yujunqiang 于 2022-5-10 17:07 编辑运行环境:WIN7
涉及工具:ExeinfoPe或peid,OD_V1.10,ImportREC,Aspr2.XX_unpacker_v1.15SC.osc
教程类型:脱壳,算法分析等
是否讲解思路和原理:是 (讲解思路原理可获得精华)
以下为图文内容:
原版程序:有注册码,但因为加壳无法汉化资源,因此进行脱壳。
准备好工具ExeinfoPe或peid,查壳为ASprotect:
准备工具OllyDbg V1.10,ImportREC V1.6,脱壳脚本Aspr2.XX_unpacker_v1.15SC.osc。
脱壳脚本在 https://github.com/dubuqingfeng/ollydbg-script 下载。
OllyDbg载入NtExplorer.exe,调用脚本Aspr2.XX_unpacker_v1.15SC.osc,生成 de_NtExplorer.exe 文件。
获取脚本记录,获取了OEP 的相对地址 = 00213B78
Script Log Window
Address Message
401000 cbase: 00401000 | NtExplor.<ModuleEntryPoint>
401000 csize: 00213000
401000 cbase: 00401000 | NtExplor.<ModuleEntryPoint>
401000 csize: 00213000
401000 cbase: 00401000 | NtExplor.<ModuleEntryPoint>
401000 csize: 00213000
292777 freeloc: 00230000
2C579E AsprAPIloc: 002D269C
2C579E Aspr1stthunk: 00629B9C
2B600C SDK 偷代码区段 = 00000002
2CFA9C EmuAddr: 00613D10
2CFA9C 这版的 Asprotect 其 SDk API 总数 = 0000000D
613B78 SDK 偷窃代码区段地址 = 033B0000
613B78 SDK 偷窃代码区段地址 = 033C0000
613B78 IAT 的地址 = 0062921C
613B78 IAT 的相对地址 = 0022921C
613B78 IAT 的大小 = 00000988
613B78 OEP 的地址 = 00613B78
613B78 OEP 的相对地址 = 00213B78
不关闭OllyDbg,运行ImportREC,进程中选择 NtExplorer后,
在OEP中输入相对地址00213B78,点右侧按钮,再点获取输入表,
然后恢复抓取文件,选择 de_NtExplorer.exe 文件,重建IAT输入表输出脱壳的可执行文件de_NtExplorer_.exe
de_NtExplorer_.exe已经成功脱壳,但无法注册了????? (这个怎么办呢?),可以对de_NtExplorer_.exe资源进行编辑汉化了。
如果楼主能每天都分享一些,那就更好了 感谢楼主 我现在已经把楼主作为我的学习目标了! 感谢楼主 感谢楼主 感谢楼主 感谢楼主 感谢楼主 谢谢分享