这时候再四次直接到最后一次异常
013D2AA6 3100 XOR DWORD PTR DS:[EAX],EAX //为asprotect 最后一次异常
013D2AA8 64:8F05 0000000>POP DWORD PTR FS:[0]
013D2AAF 58 POP EAX
013D2AB0 833D 786D3D01 0>CMP DWORD PTR DS:[13D6D78],0
013D2AB7 74 14 JE SHORT 013D2ACD
013D2AB9 6A 0C PUSH 0C
013D2ABB B9 786D3D01 MOV ECX,13D6D78
013D2AC0 8D45 F8 LEA EAX,DWORD PTR SS:[EBP-8]
013D2AC3 BA 04000000 MOV EDX,4
013D2AC8 E8 63E1FFFF CALL 013D0C30
013D2ACD FF75 FC PUSH DWORD PTR SS:[EBP-4]
013D2AD0 FF75 F8 PUSH DWORD PTR SS:[EBP-8]
013D2AD3 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C]
013D2AD6 8338 00 CMP DWORD PTR DS:[EAX],0
013D2AD9 74 02 JE SHORT 013D2ADD
013D2ADB FF30 PUSH DWORD PTR DS:[EAX]
013D2ADD FF75 F0 PUSH DWORD PTR SS:[EBP-10]
013D2AE0 FF75 EC PUSH DWORD PTR SS:[EBP-14]
013D2AE3 C3 RETN
013D2AE4 5F POP EDI
013D2AE5 5E POP ESI
013D2AE6 5B POP EBX
013D2AE7 8BE5 MOV ESP,EBP
013D2AE9 5D POP EBP
013D2AEA C3 RETN
在013D2AE3 C3 RETN 下断点
然后alt+m查看内存窗口
在code处下内存访问断点
然后shift +f9
到这里
013D2AE3 C3 RETN
013D2AE4 5F POP EDI
013D2AE5 5E POP ESI
013D2AE6 5B POP EBX
013D2AE7 8BE5 MOV ESP,EBP
013D2AE9 5D POP EBP
013D2AEA C3 RETN
013D2AEB 90 NOP
直接F9飞到光明顶
哈哈
005D17FC 55 PUSH EBP //明显的Delphi入口
005D17FD 8BEC MOV EBP,ESP
005D17FF 83C4 F0 ADD ESP,-10
005D1802 53 PUSH EBX
005D1803 56 PUSH ESI
005D1804 B8 5C105D00 MOV EAX,H_Client.005D105C
005D1809 E8 5655E3FF CALL H_Client.00406D64
005D180E 8B1D C8B85D00 MOV EBX,DWORD PTR DS:[5DB8C8] ; H_Client.005E0C8C
005D1814 8B35 C4B95D00 MOV ESI,DWORD PTR DS:[5DB9C4] ; H_Client.005DCBF4
005D181A 8B06 MOV EAX,DWORD PTR DS:[ESI]
005D181C E8 FF5EEBFF CALL H_Client.00487720
005D1821 90 NOP
--------------------------------------------
直接脱壳后
用PEID一查
Borland Delphi 6.0 - 7.0
后续工作
用ImportRec和1.22的aspr插件修复后
程序运行正常
收工 by T4nk
上一页 [1] [2]
[注意]手把手教你手脱灰鸽子2007 Beta 2最新版
您现在的位置: