手工脱壳之 ASPack压缩壳【随机基址】【重定位表加密】

最新推荐文章于 2024-04-04 21:00:33 发布
最新推荐文章于 2024-04-04 21:00:33 发布
阅读量349 收藏
点赞数
原文链接:http://www.cnblogs.com/KIDofot/p/8597000.html
版权

一、工具及壳介绍

 使用工具:Ollydbg,PEID,ImportREC,LoadPE

ASPack壳:

 

二、脱壳

1.ESP定律

ASPack壳明显多了两个区段:

   

   

开头是pushad,可以采用ESP定律脱壳。

   

   

esp下硬件断点:

   

   

断下来的地方单步几步,来到OEP。

   

   

第一个call是VC特征初始化安全Cookie,确认是OEP。

   

   

查看模块基址,exe基址,用OllydbgDump Dump下进程内存。

   

 

   

使用ImportREC修复IAT

   

   

完成后双击运行。

 

 

2.逆向重定位加密 

双击发现运行不起来,推测是随机基址的问题。PEID查看重定位表数据。

重定位表被破坏:

 

 

目标:找到加密重定位表的代码块,进行逆向分析。

操作:通过重定位表数据 顺藤摘瓜。

加壳的区段信息脱壳后的区段信息对比:

 

   

   

可见重定位表的映射内存RVA是一样的。

OD重新加载原程序。获取加载基址。 

 

   

0x12F000+16000 == 0x1306000。

此处是重定位表,下硬件访问断点:

   

   

首先断下处,根据内存框的数据一直在变动,判定解压数据的地方:

   

   

跳过解压循环:

 

   

F9后,接着断下。

   

   

查看内存框内 重定位表内存数据 已解压完毕,但明显不是重定位表数据。

根据ECX,推测此行代码是 把修改完成后重定位表 覆盖进来。

   

 

查看 重定位表内存数据 正确。

 

 

 

继续F9,接下来就是修复exe重定位的代码块了:

 

   

步过发现此代码块还进行加密重定位表数据

所以推测 exe代码的重定位修复加密重定位表 的操作都在此代码块。

   

   

跟踪分析,解析代码的流程。 

 

   

   

   

   

   

操作:NOP掉这条指令,再重复以上脱壳步骤。

查看重定位表数据:正常

 

 

 

双击运行发现还有错误。

 

   

   

显而易见,PE加载器并没有修复重定位,用LoadPE查看数据目录表信息。

   

   

重定位RVA并不是0x1600,可见APSack壳并不是采取自我代码修复重定位,

而是自己构造重定位表,让PE加载器修复自我,再另行修复exe的重定位。

修改回来即可。

   

   

成功运行:

   

   

 

个人总结:相比前面的ESP定律脱壳,感觉后面的重定位比较关键。

附件:

ASPack.exe

 

KID

转载于:https://www.cnblogs.com/KIDofot/p/8597000.html

aihan8042
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
重定位
qiaoli的知识备忘录
07-14 1254
原文连接: http://www.feiesoft.com/win32asm/win32asm-17-19.html   WIN32汇编语言教程:第17章 PE文件 · 17.5  重定位(1)   什么是重定位,代码又是在什么情况下才需要重定位呢?这个问题早在13.4.2节中就回答过了,那就是在32位代码中,涉及到直接寻址的指令都是需要重定位的(而在DOS的16位代码中,只有涉及到段
滴水逆向三期实践15:根据重定位修正地址
Rivival_S 的博客
10-28 2413
占坑
PE_修正重定位
qq_42363151的博客
09-25 308
PE
移动导出重定位,手动修复重定位
最新发布
pluginL的博客
04-04 207
要写这几个函数会频繁用到FOA转VA。
2.10 PE结构:重建重定位结构
CSDN
09-09 4610
Relocation(重定位)是一种将程序中的一些地址修正为运行时可用的实际地址的机制。在程序编译过程中,由于程序中使用了各种全局变量和函数,这些变量和函数的地址还没有确定,因此它们的地址只能暂时使用一个相对地址。当程序被加载到内存中运行时,这些相对地址需要被修正为实际的绝对地址,这个过程就是重定位。 在Windows操作系统中,程序被加载到内存中运行时,需要将程序中的各种内存地址进行重定位,以使程序能够正确地运行。Windows系统使用PE(Portable Executable)文件格式来存储可执行程
脱壳第一讲,手工脱壳ASPack2.12的.ESP定律-附件资源
03-05
脱壳第一讲,手工脱壳ASPack2.12的.ESP定律-附件资源
ASPACK压缩(共17个版本)
08-30
AsPack是高效的Win32可执行程序压缩工具,能对程序员开发的32位Windows可执行程序进行压缩,使最终文件减小达70%!目前针对ASPACk所开发的脱壳工具软件也有许多,包括ASPACK ATRIPPER 、ASPACKDIE 、ASPROTECT等
Aspack stripper 自动脱壳 ASPack 2.12 - Alexey Solodovnikov.rar
10-08
ASPack(Advanced Scratch Protector)是Alexey Solodovnikov开发的一款著名的文件压缩加密工具,它通过高度压缩和混淆代码来增强可执行文件的保护性,广泛用于软件开发者为了防止逆向工程分析和软件盗版。...
手工ASPack
08-09
手工脱壳过程中,需要识别并解密ASPack加密算法,恢复原始的程序代码,以便进一步的分析和调试。 【标签】:“黑客”是指利用技术手段探索系统漏洞和安全问题的人,他们可能出于研究目的,也可能有恶意意图。...
用x32/x64dbg脱DLL(IAT修复和重定位修复)
qq_41866334的博客
05-06 5048
一直搜到的都是看雪论坛上用的lordPE和ImportREC进行脱壳和修复,感觉有点过时了. 记录一下x32/x64dbg的脱壳和IAT修复方法. 首先用esp定律等方法找到程序的入口点, 然后使用Scylla插件并填写其中的OEP地址. 然后用IAT Autosearch去找可能的IAT,dump并fix pe文件即可. ...
重定位添加/删除工具
05-14
自己写的用于重定位的添加/编辑/删除工具
输出重定位的重建
08-18
利用这个,如果特征码定位到了输出重定位上的时候,你重建就能达到免杀的目的
写一个PE的_Part 2:ASLR+修复输入(IAT)+重定位支持(.reloc)
可乐松子的博客
05-26 3541
文章目录Part 2:输入重定位1.ASLR预备知识2.输入支持detail 1:什么是输入?detail 2:PE Header描述detail 3:真实的输入detail 4:编程处理数据结构编程实现扩展:LIEF中重建Import Table介绍3.管理重定位detail 1:什么是重定位?detail 2:重定位结构detail 3:编程处理4.结果展示5.参考 Part 2:输入重定位 本文主要处理Part 1中遗留的2张:输入重定位(执行一个ASLR使能的文件不
修改IMAGEBASE修复重定位
qq_52442096的博客
02-07 194
【代码】修改IMAGEBASE修复重定位
移动重定位和模拟windows重定位过程
weixin_43990313的博客
07-20 363
移动重定位 思路 大体上和移动导出相同,相比而言简单一些,不用寻址三个。直接复制重定位的内容即可。可以参照我写的移动导出的那一篇博文。 代码 #include <stdio.h> #include <stdlib.h> #include <windows.h> DWORD RVATOFOA(DWORD RVA,LPVOID pFileBuffer) { DWORD FOA = NULL; PIMAGE_DOS_HEADER pDosHeader
手工脱壳AsPack压缩脱壳-随机基址
baochi8399的博客
07-18 687
一、工具及介绍二、脱壳1、ESP定律脱壳2、单步跟踪脱壳3、基址重定位的修复 一、工具及介绍 使用工具:Ollydbg、PEID、ImportREC、LoadPE、010 Editor 查看待脱壳程序 查看AsPack特有的区段信息 小结:根据链接器版本推断待脱壳程序应该是VS 2013编...
DLL文件脱壳重定位修复部分)
yizhenweifeng的专栏
02-15 1万+
标 题:DLL文件脱壳重定位修复部分)作 者:kanxue 时 间:2008-03-16 10:42 链 接:http://bbs.pediy.com/showthread.php?t=61334   13.5 DLL文件脱壳   DLL文件的脱壳与EXE文件步骤差不多,所不同的是,DLL文件多了个基址重定位等要考虑。   在2003年出版的《加密与解密》(第二版)中以
脱壳入门(一)之分析Aspack
w_g3366的博客
07-02 5590
文章目录脱壳0.前置知识1 .的基础知识1.1的加载过程示例:分析一个简单的aspack 脱壳 0.前置知识 熟悉PE文件结构 PE文件的Magic Code是什么 MZ头,PE头 PE文件头的信息有哪些? 运行平台、时间戳、PE文件属性、区段数量、扩展头的大小 PE文件的扩展头的信息有哪些? EP的RVA、ImageBase(400000)、代码段起始地址、数据段起始地址...
PE文件学习笔记(四):重定位(Relocation Table)解析
热门推荐
Apollon_krj的博客
08-18 1万+
1、重定位的作用重定位(Relocation Table)用于在程序加载到内存中时,进行内存地址的修正。为什么要进行内存地址的修正?我们举个例子来说:test.exe可执行程序需要三个动态链接库dll(a.dll,b.dll,c.dll),假设test.exe的ImageBase为400000H,而a.dll、b.dll、c.dll的基址ImageBase均为1000000H。 那么操作系统的
定位OEP:一步直达法与UPX/ASPACK
定位OEP的方法之一是利用一步直达法(searching for JMP or CALL instructions),这种方法主要针对如UPX和ASPACK这类简单的。通过查找JMP(0E9)或CALL(0E8)等长跳转指令,这些在解密原始代码后,通常会通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值