Aspr2.XX_unpacker_1.14

zzage

这不是脱壳机 !!!!!!!!
这是个脚本必须配合

1.OllyDbg 1.1
2.Odbgscript 1.64 或以上的版本
3.Import Reconstructor

不会用这几个工具的人别浪费时间下载这脚本.
运行脚本后会得 de_xxxxxxx.exe (或 de_xxxxxxx.dll), 用 Import Reconstructor 修复 IAT.
*** 偶尔会多出 st_table.bin 和 jmptable.bin 这两个文件, 可不管它.
别拿这个去脱有 VM 的 !!!!

请大家尽量用 ODBGscript v1.65 运行这个脚本， 因为 ODBGscript v1.64 的 asm 指令存有 bug, 它在下

asm eip, "mov eax, [ecx]"
或
asm eip, "mov eax, [401000]"

都会出错。

版本变动

1.00
初版.

1.10
1. 修复 Delphi 初始化表时偶尔出错.
2. 支持某一早期的 Asprotect 输入表的修复.
3. 补齐 crc 校验类型.
4. 增加一个 Asprotect API 模拟.

1.11
输入表修复时如调用 API 的呼叫者其地址不在程序的第一区段内会被遗漏.

1.12
配合某些 ODBGscript 版本使用偶尔不能找到 OEP.

1.13
1. 配合 ODBGscript v1.63 或以上的版本在修复 Delphi 初始化表会出错.
2. 支持某一新版的 Asprotect, 其被窃代码的分类跟过往的版本不同.

1.14
1. 脚本只能配合 ODBGscript v1.64 或以上的版本使用.
2. 修改 CRC 校验点修复的方法.
3. 未能找到 Aspr 1.4x 加壳程序的 OEP.
4. 找回 Aspr 1.4x 加壳程序所使用的 Asprotect API.
5. 将未能配对的标准函数代码如修复被窃代码般放在 .aspr 区段.
6. 其他 bugs fix.

1.2
加入修复 VM 代码的功能.


History
----------

1.00
First release.

1.10
1. Occasionally crash when fixing initialization table of Delphi apps.
2. IAT rebuild for an early version of Asprotect.
3. Add one more crc check pattern.
4. Add one more Asprotect API emulation.

1.11
IAT rebuild is incomplete when the address of the API caller is beyond first section of the app.

1.12
With some version of ODBGscript it occasionally fails to locate the OEP.

1.13
1. With ODBGscript v1.63 or above it fails to fix initialization table of Delphi apps.
2. Support a newer Asprotect whose stolen code type definition is different.

1.14
1. Script runs on ODBGscript v1.64 or above only.
2. Modification of fixing CRC check point.
3. Failed to locate OEP of proggie packed with verison 1.4x
4. Unhide the Asprotect API used in proggie packed with version 1.4x.
5. If std function can't find a match, they will be copied to .aspr section just like other stolen code.
6. Other bugs fix.

1.2
Add the ability to fix VM code.


                  **使用前的修改**

把压缩包中的 Asprvm8s.bin 放在一个你指定的地方, 然后用记事本修改脚本中的这里

lab78_1:
log VMcodeloc
lm VMcodeloc, 4000, "d:\Asprvm8s.bin"     ---> 修改这句

如你是把 Asprvm8s.bin 放在 c:\script 的目录下则把上面这句改成

lm VMcodeloc, 4000, "C:\script\Asprvm8s.bin"

然后存档.

              **Modification needed before usage**

Copy the Asprvm8s.bin into a folder you want , then use text editor to modify this part of the script

lab78_1:
log VMcodeloc
lm VMcodeloc, 4000, "d:\Asprvm8s.bin"     ---> modify this line

if Asprvm8s.bin is copied under the folder c:\script the above command should be chnaged as

lm VMcodeloc, 4000, "C:\script\Asprvm8s.bin"

淫乱一世纪

1.14都出来了，volx好强大！！！！！！！！

sfl4800

还是更期待 1.2版本。。

Fate

今天在Unpacker看到了..没想到你这么快就转过来了...这可是好东东了..

soonnet

好东东，支持了 [s:40]

lei45627

好东西 谢谢 收下咯 ！！！  [s:43] [s:43] 悄悄的 拿走

nazicc

1.14都出来了，volx好强大！！！！！！！！

1400021

谢谢分享。再接再厉为大家贡献！呵呵1

entices

好东西，收藏，太强大了