Runtime Software NtExplorer 脱壳

zyyujq · 发表于 2022-5-10 16:58

本帖最后由 yujunqiang 于 2022-5-10 17:07 编辑

运行环境：WIN7
涉及工具：ExeinfoPe或peid，OD_V1.10，ImportREC，Aspr2.XX_unpacker_v1.15SC.osc
教程类型：脱壳，算法分析等
是否讲解思路和原理：是（讲解思路原理可获得精华）

以下为图文内容：
原版程序：有注册码，但因为加壳无法汉化资源，因此进行脱壳。

准备好工具ExeinfoPe或peid，查壳为ASprotect：

准备工具OllyDbg V1.10，ImportREC V1.6，脱壳脚本Aspr2.XX_unpacker_v1.15SC.osc。

脱壳脚本在 https://github.com/dubuqingfeng/ollydbg-script 下载。

OllyDbg载入NtExplorer.exe，调用脚本Aspr2.XX_unpacker_v1.15SC.osc，生成 de_NtExplorer.exe 文件。

获取脚本记录，获取了OEP 的相对地址 = 00213B78
Script Log Window
Address Message
401000    cbase: 00401000 | NtExplor.<ModuleEntryPoint>
401000    csize: 00213000
401000    cbase: 00401000 | NtExplor.<ModuleEntryPoint>
401000    csize: 00213000
401000    cbase: 00401000 | NtExplor.<ModuleEntryPoint>
401000    csize: 00213000
292777    freeloc: 00230000
2C579E    AsprAPIloc: 002D269C
2C579E    Aspr1stthunk: 00629B9C
2B600C    SDK 偷代码区段 = 00000002
2CFA9C    EmuAddr: 00613D10
2CFA9C    这版的 Asprotect 其 SDk API 总数 = 0000000D
613B78    SDK 偷窃代码区段地址 = 033B0000
613B78    SDK 偷窃代码区段地址 = 033C0000
613B78    IAT 的地址 = 0062921C
613B78    IAT 的相对地址 = 0022921C
613B78    IAT 的大小 = 00000988
613B78    OEP 的地址 = 00613B78
613B78    OEP 的相对地址 = 00213B78

不关闭OllyDbg，运行ImportREC，进程中选择 NtExplorer后，
在OEP中输入相对地址  00213B78，点右侧按钮，再点获取输入表，
然后恢复抓取文件，选择 de_NtExplorer.exe 文件，重建IAT输入表输出脱壳的可执行文件de_NtExplorer_.exe

de_NtExplorer_.exe已经成功脱壳，但无法注册了????? (这个怎么办呢？)，可以对de_NtExplorer_.exe资源进行编辑汉化了。

vpgPGJRwInb · 发表于 2022-5-10 17:04

如果楼主能每天都分享一些，那就更好了

ALNHRvIO6270 · 发表于 2022-5-10 17:04

感谢楼主

JELdVp · 发表于 2022-5-10 17:07

我现在已经把楼主作为我的学习目标了！

HZficIy · 发表于 2022-5-10 17:10

感谢楼主

AjI9634 · 发表于 2022-5-10 17:13

感谢楼主

fVULon · 发表于 2022-5-10 17:13

感谢楼主

IDKvFTstaq · 发表于 2022-5-10 17:15

感谢楼主

iyjrcJOU089 · 发表于 2022-5-10 17:20

感谢楼主

KcthLpNC593 · 发表于 2022-5-10 17:21

谢谢分享

		自动登录	找回密码
密码			立即注册

[原创逆向图文] Runtime Software NtExplorer 脱壳

点评

评分