- UID
- 47764
注册时间2008-3-1
阅读权限20
最后登录1970-1-1
以武会友
 
该用户从未签到
|
在此 感谢VOLX大侠!!!!!!!/:018
这不是脱壳机 !!!!!!!!
这是个脚本必须配合
1.Ollydbg 1.1
2.Odbgscript 1.64 或以上的版本
3.Import Reconstructor
不会用这几个工具的人别浪费时间下载这脚本.
运行脚本后会得 de_xxxxxxx.exe (或 de_xxxxxxx.dll), 用 Import Reconstructor 修复 IAT.
*** 偶尔会多出 st_table.bin 和 jmptable.bin 这两个文件, 可不管它.
别拿这个去脱有 VM 的 !!!!
请大家尽量用 ODBGscript v1.65 运行这个脚本, 因为 ODBGscript v1.64 的 asm 指令存有 bug, 它在下
asm eip, "mov eax, [ecx]"
或
asm eip, "mov eax, [401000]"
都会出错。
版本变动
1.00
初版.
1.10
1. 修复 Delphi 初始化表时偶尔出错.
2. 支持某一早期的 Asprotect 输入表的修复.
3. 补齐 crc 校验类型.
4. 增加一个 Asprotect API 模拟.
1.11
输入表修复时如调用 API 的呼叫者其地址不在程序的第一区段内会被遗漏.
1.12
配合某些 ODBGscript 版本使用偶尔不能找到 OEP.
1.13
1. 配合 ODBGscript v1.63 或以上的版本在修复 Delphi 初始化表会出错.
2. 支持某一新版的 Asprotect, 其被窃代码的分类跟过往的版本不同.
1.14
1. 脚本只能配合 ODBGscript v1.64 或以上的版本使用.
2. 修改 CRC 校验点修复的方法.
3. 未能找到 Aspr 1.4x 加壳程序的 OEP.
4. 找回 Aspr 1.4x 加壳程序所使用的 Asprotect API.
5. 将未能配对的标准函数代码如修复被窃代码般放在 .aspr 区段.
6. 其他 bugs fix.
1.2
加入修复 VM 代码的功能.
History
----------
1.00
First release.
1.10
1. Occasionally crash when fixing initialization table of Delphi apps.
2. IAT rebuild for an early version of Asprotect.
3. Add one more crc check pattern.
4. Add one more Asprotect API emulation.
1.11
IAT rebuild is incomplete when the address of the API caller is beyond first section of the app.
1.12
With some version of ODBGscript it occasionally fails to locate the OEP.
1.13
1. With ODBGscript v1.63 or above it fails to fix initialization table of Delphi apps.
2. Support a newer Asprotect whose stolen code type definition is different.
1.14
1. Script runs on ODBGscript v1.64 or above only.
2. Modification of fixing CRC check point.
3. Failed to locate OEP of proggie packed with verison 1.4x
4. Unhide the Asprotect API used in proggie packed with version 1.4x.
5. If std function can't find a match, they will be copied to .aspr section just like other stolen code.
6. Other bugs fix.
1.14a
1. Bug fix.
1.2
Add the ability to fix VM code.
**使用前的修改**
把压缩包中的 Asprvm8s.bin 放在一个你指定的地方, 然后用记事本修改脚本中的这里
lab78_1:
log VMcodeloc
lm VMcodeloc, 4000, "d:\Asprvm8s.bin" ---> 修改这句
如你是把 Asprvm8s.bin 放在 c:\script 的目录下则把上面这句改成
lm VMcodeloc, 4000, "C:\script\Asprvm8s.bin"
然后存档.
**Modification needed before usage**
Copy the Asprvm8s.bin into a folder you want , then use text editor to modify this part of the script
lab78_1:
log VMcodeloc
lm VMcodeloc, 4000, "d:\Asprvm8s.bin" ---> modify this line
if Asprvm8s.bin is copied under the folder c:\script the above command should be chnaged as
lm VMcodeloc, 4000, "C:\script\Asprvm8s.bin"
**使用前的修改**
把压缩包中的 Asprvm8s.bin 放在一个你指定的地方, 然后用记事本修改脚本中的这里
lab78_1:
log VMcodeloc
lm VMcodeloc, 4000, "d:\Asprvm8s.bin" ---> 修改这句
如你是把 Asprvm8s.bin 放在 c:\script 的目录下则把上面这句改成
lm VMcodeloc, 4000, "C:\script\Asprvm8s.bin"
然后存档.
---------------------------------------------------------------------
History
----------
1.15
1. Bug fix.
2. Support a newer version of Asprotect.
Please make sure the ODBGscript you are using can execute either of the following commands
asm eip, "lea eax,[ebx]"
or
asm eip, "mov eax, [401000]"
this bug only exists in the ODBGScript english version at the time of writing, so I've included a bug fixed version in the english package in case you need it.
**Modification needed before usage**
Copy the Asprvm8s.bin into a folder you want , then use text editor to modify this part of the script
lab78_1:
log VMcodeloc
lm VMcodeloc, 4000, "d:\Asprvm8s.bin" ---> modify this line
if Asprvm8s.bin is copied under the folder c:\script the above command should be chnaged as
lm VMcodeloc, 4000, "C:\script\Asprvm8s.bin"
[ 本帖最后由 frozenrain 于 2009-3-13 19:27 编辑 ] |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?加入我们
x
|
IP卡
发表于 2008-5-15 22:10:12
提升卡
置顶卡
变色卡
千斤顶
显身卡
发表于 2008-5-16 09:27:08
发表于 2008-5-16 16:01:36
发表于 2008-5-18 13:39:28
楼主
发表于 2008-5-19 07:19:03
