[DOC]Aspack2.11脱壳笔记

最新推荐文章于 2023-05-25 15:02:17 发布
最新推荐文章于 2023-05-25 15:02:17 发布
阅读量1.4k 收藏
点赞数
分类专栏: DOC 文章标签: 汇编 byte c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Gue/article/details/1343066
版权

 

  最近正在学点脱壳..从网上找来手动脱壳入门十八篇.刚看到第四篇讲Aspack2.11的脱壳..看了前面的UPX脱壳.感觉入门的东东.应该不会太难..So,来自己先脱一次..脱不了再看教程..:)..说干就干..

PEID查了是Aspack2.11  OD载入.选择不继续分析.忽略所有异常 .

0040D001   60              pushad                                    //停在这里
0040D002    E9 3D040000     jmp     0040D444        //F8跳下来
0040D007    45              inc     ebp
0040D008    71 8C           jno     short 0040CF96

0040D444    81DD 719D2555   sbb     ebp, 55259D71  //来到这里
0040D44A    E8 14000000     call    0040D463                 //大虾说过近CALL用F8的话有时会跑飞.F7进去
0040D44F    47              inc     edi

0040D463    BA 6755B65A     mov     edx, 5AB65567    //来到这里
0040D468    81D2 19620C9A   adc     edx, 9A0C6219
0040D46E    59              pop     ecx
0040D46F    80CE E3         or      dh, 0E3
0040D472    81C2 A9B064F1   add     edx, F164B0A9
0040D478    E9 14000000     jmp     0040D491
0040D47D    831F D5         sbb     dword ptr [edi], -2B
0040D480    0D 39B210A9     or      eax, A910B239
0040D485    47              inc     edi
0040D486    E0 6E           loopdne short 0040D4F6
0040D488    62A1 C4B4E6F3   bound   esp, qword ptr [ecx+F3E6B4C4]
0040D48E    42              inc     edx
0040D48F    B6 4A           mov     dh, 4A
0040D491    51              push    ecx
0040D492    BD 69806869     mov     ebp, 69688069
0040D497    0FBFEF          movsx   ebp, di
0040D49A    5E              pop     esi
0040D49B    66:8BFB         mov     di, bx
0040D49E    E9 14000000     jmp     0040D4B7
0040D4A3    E7 07           out     7, eax
0040D4A5    A6              cmps    byte ptr [esi], byte ptr es:[edi>
0040D4A6    DBC1            fcmovnb st, st(1)
0040D4A8    6F              outs    dx, dword ptr es:[edi]
0040D4A9    B8 A733D035     mov     eax, 35D033A7
0040D4AE    58              pop     eax

0040D536  ^/E9 00FFFFFF     jmp     0040D43B       //一直F8到这里.往回跳了
0040D53B    A9 55C3500F     test    eax, 0F50C355  //F4到这句程序会跑飞.
0040D540    50              push    eax
0040D541    DCFF            fdiv    st(7), s

 

跑飞了只有重新来过.第一个CALL进后.感觉一直在计算什么东东..(汇编差..正在一边学Crack,一边学ASM,只能先感觉一下)..所以直接CTRL+F9下来.

004010CC    55              push    ebp    //然后到这里
004010CD    8BEC            mov     ebp, esp
004010CF    83EC 44         sub     esp, 44
004010D2    56              push    esi
004010D3    FF15 E4634000   call    dword ptr [4063E4]               ; kernel32.GetCommandLineA

看了一下ESP,0013FFC4!!好眼熟..以前看过一下堆栈平衡原理..大部分壳跳到OEP以前的时候都要还原堆栈..

!!难道这就是OEP?管他呢..DUMP出来看看就知道了..直接在这里DUMP..程序能运行..所有功能正常..开心!!

 

这就算是第一次手动脱壳吧.虽然大部分是靠运气..还是蛮开心的..记下来..作个纪念,抓紧时间学汇编..

Gue
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
简单脱壳教程笔记(4)---手脱ASPACK壳
oBuYiSeng的博客
03-18 6497
笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。        ximo早期发的脱壳基础视频教程 下载地址如下:            http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E8%A7%86%E9%A2%91%E6%95%99%E7%A8%8B/ximo%e8%84%b1%e5%a3%b3%e5
ASProtect2.11
05-01
ASProtect2.11汉化破解版
全能ASPack自动脱壳工具 绿色版.rar
03-03
全能ASPack自动脱壳工具 绿色版.rar
(1)aspack脱壳并crack
~
05-25 269
HzorInline的代码行OUT=4053A9,这里其实就是OEP。Patch the PE file完成打包。
脱壳aspack压缩壳
Nattevak
12-29 1915
  一般再执行Shell部分代码时,会先保存上下文环境,使用push指令(pushad/pushfd),执行Shell部分代码之后,再使用pop指令(popad/popfd)恢复环境,使堆栈平衡,故使用ESP定律进行简单脱壳。 1.使用OD加载程序,发现pushad指令,判断程序已加壳。 2.按下F8单步步过,使得程序走到CALL的位置,然后对ESP下断点,再将程序运行起来 3.程序断下来的地方即为pop的地方 4.F8单步步过,找到原始OEP 5.在原始OEP处,右键菜单,选择用OllyDu
Aspack壳手动脱壳
weixin_62586193的博客
03-27 2357
最近打了buu的DASCTF的比赛,但我是菜狗,就只做出了re的签到题(雾),还是学到了不少东西,就是Aspack的手动脱壳,记录下。 首先是用peid查壳,可以看到是aspcak壳。(exeinfope也可以,就是启动没有那么快) 然后在lordPE里面选特征值旁边的三个点 设置重定位已分离,保存即可 然后用ollydbg进行动调找函数的入口: 会弹出一个窗口: 压缩代码? 模块“XXXX”的快速统计报告标明其代码段要么被压缩、加密,要么包含大量的嵌入数据,代码分析的结果可能非常不可靠或者完全错误
Aspack stripper 自动脱壳 ASPack 2.12 - Alexey Solodovnikov.rar
10-08
Aspack stripper 自动脱壳 ASPack 2.12 - Alexey Solodovnikov】 在IT领域,软件保护和反保护是一个永恒的主题。ASPack(Advanced Scratch Protector)是Alexey Solodovnikov开发的一款著名的文件压缩和加密工具...
Un-ASPACK脱壳汉化版aspack 2.12 脱壳
06-25
Un-ASPACK脱壳汉化版aspack 2.12 脱壳一个脱壳软件
aspack脱壳工具
11-30
aspack脱壳工具 可对aspack进行脱壳
ASPack(所有版本脱壳机)t汉化版
06-28
ASPack(所有版本脱壳机)t汉化版!!!!!!!!!!!!!!
ASPack脱壳
10-19
- Aspack 2.11 - Aspack 2.11c/d - Aspack 2.12 - Aspack 2.12a/b - 一些未知的版本 对于一些较早版本的 Aspack 可以使用 BiWeiGuo (Protools.cjb.net) 的 UnAspack. 看一下原代码可以得到更多的信息. 请发送 ...
ASPack 2.12
AlexSmoker的博客
02-06 965
查壳,是ASPack2.12 首先看到pushad第一反应是esp定律。 在esp处设置硬件执行断点,然后F9执行到下图位置 继续向下走,发现有个间隔很大的返回地址多半就是OEP 执行到OEP进行脱壳 设置OEP的RVA为0x1000 转储IAT,对文件IAT进行修复。 剪切掉无效指针 转储到Dump文件中执行,查看执行效果,发现可以正常运行。 ...
aspack的简单脱壳,望大牛勿喷。
weixin_33762130的博客
07-25 561
压缩壳下面是我的脱壳,win7x64下测试。1.单步跟踪2.ESP定律3.一步到达oep4.内存镜像法5.脱壳软件6.脚本脱壳7.模拟跟踪法,查看内存。SFX,imports,relocationstceip<地址,另外说下,这个跟踪好慢。。8.Sfx法以上方法第一种脱壳后还是来个脱壳机试试吧。话说区段一点也不一样。名字都乱了啊,文件也打不开。怀疑脱壳机有问题。AsP...
[DOC]我的vimrc 设置
Gue_Studio
11-15 1442
;;文件_vimrcset nocompatibleset encoding=utf-8language messages zh_CN.utf-8filetype plugin indent onset nuset wrap!set shiftwidth=4set softtabstop=4set expandtabset aiset nobackup""source $VIMRUNTIME/
aspack 全自动脱壳
最新发布
07-18
ASPack 全自动脱壳是指通过使用特定的软件工具来自动解压被 ASPack 打包加壳的可执行文件。ASPack 是一款常用的可执行文件压缩软件,它能够将程序代码进行压缩,减小文件体积,并添加加密保护,使得逆向工程更加困难...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值