手动脱壳“ASProtect 1.2x - 1.3x”(1/2)

最新推荐文章于 2014-02-23 18:27:42 发布
最新推荐文章于 2014-02-23 18:27:42 发布
阅读量1.2k 收藏
点赞数
文章标签: c byte 加密 windows 工具 工作
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/coderui/article/details/4900433
版权
本文详细记录了手动脱壳ASProtect 1.2x-1.3x的过程,通过使用Ollydbg进行动态分析,遇到并处理了多个异常,包括内存访问和INT3异常。文章介绍了每一步的操作和注意点,旨在为后续的脱壳工作提供参考。
摘要由CSDN通过智能技术生成

 


文件名称:手动脱壳“ASProtect 1.2x - 1.3x”
目标程序:病毒样本
操作环境:Windows XP-SP2
使用工具:Ollydbg 1.10版
编写作者:Coderui
编写时间:2009年01月05日
联系方式:coderui@163.com
作者博客:http://hi.baidu.com/coderui
---------------------------------------------------------------------------------------------
介绍:

    “ASProtect”加密壳是一款商业壳,由于版本和其中的设置众多,所以加壳后的样本总是五花八门,都不好脱。最近准备利用工作之余把“ASProtect”加密壳的所有版本都试着脱一下(从低版本开始),顺便记点笔记以备后期查阅时使用!下文如有表达错误的地方还请多多指正,谢谢!
---------------------------------------------------------------------------------------------
OD设置:(OD设置为不忽略任何异常。[F2]:下软断点、[F4]:执行到当前代码处、[F7]:单步步入、[F8]单步步过、[F9]运行。)
请按照注解顺序观看(00)-(01)-(02)…(99),不然很容易混乱。

; (00) 病毒样本载入后,OD提示错误“不知如何继续,因为内存地址 E072C4B2 不可读. 请尝试更改 EIP 或忽略程序异常.”
; (01) 我们使用[Shift+F9]忽略异常。

10034000 > 68 01500610     PUSH virus.10065001                      ; (02) OD停在这里,我们[F9]运行。
10034005    E8 01000000     CALL virus.1003400B
1003400A    C3              RETN
1003400B    C3              RETN
            .
            .
            .
00D3FF66    0000            ADD BYTE PTR DS:[EAX],AL                 ; (03) OD停在这里,提示“内存访问”异常。我们使用[Shift+F9]忽略异常,并继续运行。
00D3FF68    E8 33C05A59     CALL 5A2EBFA0
00D3FF6D    59              POP ECX
00D3FF6E    64:8910         MOV DWORD PTR FS:[EAX],EDX
00D3FF71    EB 0F           JMP SHORT 00D3FF82
00D3FF73 ^ E9 F02EFCFF     JMP 00D02E68
00D3FF78    E8 67FBFFFF     CALL 00D3FAE4
00D3FF7D    E8 4232FCFF     CALL 00D031C4
00D3FF82    E8 05E9FFFF     CALL 00D3E88C
00D3FF87    33C0            XOR EAX,EAX
00D3FF89    5A              POP EDX
00D3FF8A    59              POP ECX
00D3FF8B    59              POP ECX
00D3FF8C    64:8910         MOV DWORD PTR FS:[EAX],EDX
00D3FF8F    68 A4FFD300     PUSH 0D3FFA4
00D3FF94    8D45 F4         LEA EAX,DWORD PTR SS:[EBP-C]
00D3FF97    E8 5C37FCFF     CALL 00D036F8
00D3FF9C    C3              RETN
            .
            .
            .
00D3E2BB    90              NOP                                      ; (04) OD停在这里,提示“INT3”异常。我们使用[Shift+F9]忽略异常,并继续运行。
00D3E2BC    EB 01           JMP SHORT 00D3E2BF
00D3E2BE    6966 81 FE47467>IMUL ESP,DWORD PTR DS:[ESI-7F],744647FE
00D3E2C5    05 31C040EB     ADD EAX,EB40C031
00D3E2CA    0231            ADD DH,BYTE PTR DS:[ECX]
00D3E2CC    C031 DB         SAL BYTE PTR DS:[ECX],0DB                ; 移位常量超出 1..31 的范围
00D3E2CF    64:8F03         POP DWORD PTR FS:[EBX]
00D3E2D2    83C4 04         ADD ESP,4
00D3E2D5    EB 01           JMP SHORT 00D3E2D8
            .
            .
            .
00D3F004    0000            ADD BYTE PTR DS:[EAX],AL                 ;

最低0.47元/天 解锁文章
coderui
关注
ASProtect1.22-1.23 自动脱壳
03-26
自动脱 ASProtect1.22-1.23 壳
ASProtect 1.2x - 1.3x脱壳教程
09-11
ASProtect 1.2x - 1.3x脱壳教程
手动脱壳ASProtect 1.2x - 1.3x”(2/2)
liubingyuan的专栏
11-29 540
 00D3FA0A    C3              RETN                                     ; (39) 跳到这里后,[F8]返回。            .            .            .00D3E8A8    C3              RETN                                    
AsProtect脱壳
07-17
AsProtect脱壳机,2.X版本的 部分需要修复IAT
ASProtect V2.X脱壳
12-17
ASProtect V2.X脱壳+处理附加数据+去自校验
ASProtect 1.2x - 1.3x脱壳视频教程
07-19
文件是ASProtect 1.2x - 1.3x脱壳视频教程,分为没有偷窃的,和偷窃代码的, Aspr2.XX_unpacker_v1.0SC.osc这个文件很有用,运行时通过od的插件的odbgscript导入运行。
ASProtect V1.31 build 06.14主程序 脱壳
weixin_34279184的博客
12-10 229
明月几时有——ASProtect V1.31 build 06.14主程序 脱壳脱壳目标】:ASProtect V1.31 build 06.14的主程序ASProtect.exe 【作者声明】:只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教! 【调试环境】:WinXP、OllyDBG、PEiD、PEToo...
巨强悍的ASProtect脱壳机:ASProtect unpacker by PE_Kill
04-20
巨强悍的ASProtect脱壳机:ASProtect unpacker by PE_Kill巨强悍的ASProtect脱壳机:ASProtect unpacker by PE_Kill
超强的ASProtect脱壳
05-14
超强的ASProtect脱壳机,是最新版的!!
asprotect1.xx-2.xx全套脱壳脚本(珍藏版)
08-14
asprotect1.xx-2.xx全套脱壳脚本(珍藏版) 很好用的
asprotect1.xx-2.xx全套脱壳脚本
12-15
asprotect1.xx-2.xx全套脱壳脚本(珍藏版) 已打包好
第51章-ASProtect v2.3.04.26脱壳-Part11
08-03
第51章-ASProtect v2.3.04.26脱壳-Part11
ASProtect 1.23 手动脱壳
u011500307的专栏
02-23 2205
遇到的一些问题记录下: 1. 如果选择的是OD加载的进程,那么ImportREC就会死掉,所以我们只能重新打开一个程序,对新打开的程序修复。(在修复RC4版本的时候有这个问题,当用ASProtect 1.22插件来修复的时候就会卡死)。 2. ASProtect 1.23 RC1 的程序入口特征如下: 00401000 > 68 01704A00 push 004A7001
asprotect脱壳经验谈
Changju博客
09-09 2745
数月前对某一程序分析,拿到程序应PEid扫描了一下,发现是asp 的壳,之前脱过此类壳感觉难度不大,此程序在OEP调用了GetStartupInfo,找到OEP并不困难,结合堆栈基本就可以确定OEP。然后开始用ollydump dump程序,importrec修复,一切顺利。     好了,开始运行脱壳后的程序,程序开始处理,显示进度条。在这时本人喜悦不胜言表,就等着开始自己的探索之旅,突然我w
ASProtect V2.X脱壳+处理附加数据+去自校验!
张宏双的专栏
05-24 4070
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ASProtect V2.X脱壳+处理附加数据+去自校验作者:Hmily博客:Http://Blog.52Hmily.CnQQ群:39940458~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~大家好,我是Hmily,今天给大家带来 Q宠保姆VC版 2.23 SP8版2007.0
ASPROTECT 2.x 脱壳系列(三)
loveboom's Reverse Enginering
10-05 6053
ASPROTECT 2.x 脱壳系列(三)【目    标】:BeeIcons 4.02.1【工    具】:Olydbg1.1(diy版)、LORDPE、ImportREC1.6F【任    务】:简单的脱壳【操作平台】:Windows XP sp2【作    者】:LOVEBOOM[DFCG][FCG][US]【相关链接】:自己搜索下【简要说明】:继上一篇,这次的目标前两篇的又有所不同了.难度稍
逆向分析入门:手动脱壳技巧解析
"手动脱壳教程" 在逆向工程领域,手动脱壳是一项基础且重要的技能,特别是对于初学者来说。脱壳是为了去除程序上的保护层,即所谓的壳,以便能够深入分析程序的原始二进制代码。壳的种类多样,有的侧重于压缩程序以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值