天龙八部主程序脱壳，资源又将可以提取

ferlyworld

天龙八部主程序脱壳（ ASProtect 2.3 SKE）(2010-03-19 15:54:10)转载标签：杂谈 分类：3D编程

天龙八部主程序脱壳（ ASProtect 2.3 SKE）



作者：ferlyworld 周伯河

博客：http://blog.sina.com.cn/ferlyworld

EMAIL: zhoubohe@126.com

转载请保持完整文件，并注明出处。



因为课题使用OGRE做场景渲染，最近研究了一下使用OGRE做引擎的天龙X部和火炬之光（Torlight）。最新版本的天龙X部主程序和资源都做了一定的加密处理，原来的资源提取器不能用了，决定自己来写一个，先把主程序的壳解决再说。



天龙X部的版本号为 V 1.10.0997|26153

1．  先用PEiD扫描，结果如下

是用Version: ASProtect 2.3 SKE build 05.14 Beta [2]!加的壳





2．  好说了，用OllyDBG+ Aspr2.XX_unpacker扫出OEP和IAT，并DUMP内存中的程序

Script Log Window

Address    Message

FA277B     freeloc: 00F40000

FD39AA     AsprAPIloc: 00FE0634

FDDC83     1 个标准函数

22002A6    IAT 的地址 = 0063D000

22002A6    IAT 的相对地址 = 0023D000

22002A6    IAT 的大小 = 00000944

22002A6    OEP 的地址 = 00616398

22002A6    OEP 的相对地址 = 00216398

FA277B     freeloc: 00D50000

FD39AA     AsprAPIloc: 00FE0634

FDDC83     1 个标准函数

21F02A6    IAT 的地址 = 0063D000

21F02A6    IAT 的相对地址 = 0023D000

21F02A6    IAT 的大小 = 00000944

21F02A6    OEP 的地址 = 00616398

21F02A6    OEP 的相对地址 = 00216398



3．  用ImportREC重建IAT表并修复DUMP文件，好在不需要手工查找





4．  测试一下，一切OK

反汇编后分析发现，game.exe 可以加-debug参数直接运行，运行时会先出一个提示框，不会再提示非要从Lunch.exe运行＾＿＾。

现在已分析完AXP资源文件的读写代码，完全可以解决资源提取问题。



http://blog.sina.com.cn/ferlyworld