手动脱ASPack壳

最新推荐文章于 2022-03-27 10:46:21 发布
最新推荐文章于 2022-03-27 10:46:21 发布
阅读量180 收藏
点赞数

手动脱ASPack

write by 九天雁翎(JTianLing) -- blog.csdn.net/vagrxie

讨论新闻组及文件

个人手动脱壳定义,不是完全不用工具,仅仅是指不用脱壳机,并且手动寻找OEP,恢复IAT的时候使用ImportREC,但是手动找到IAT的位置,不用自动搜寻功能,其实找到了位置后,ImportREC还是做了新添加一个段,拷贝2进制数据,修改PE头中的IAT偏移地址这种工作,因为重复性太高,不手动进行了。

这些自然不是最佳,最快脱壳的方式,仅仅是学习。。。。。

需要用到的工具有OllyDbg(用于调试),LordPE(用于DumpLordPEDump似乎比OllyDbgDump插件更稳定,因为好像OlldyDbgDump插件还尝试做了一些其他工作),ImportREC(恢复IAT)

压缩壳总是容易脱的,作为脱壳练手,再来一个著名的壳,ASPack

我用的版本是212,测试对象是用其将windows的计算器程序打包。

获取OEP

ASPack获取OEP就没有UPX那么简单了,当然,其实也还是不难,毕竟是压缩壳嘛。而且我尝试过压缩简单的程序(比如以前用汇编写的那个HelloWorld,几乎不会改变代码段,仅仅加密了IAT),因为calc.exe还算是一个正规的程序,所以体积不算很小,然后可以达到50%以上的压缩率,代码段自然也破坏了。

我首先用的是一种很笨的办法,直接通过段之间的跳转来定位,但是因为ASPack相当的狡猾。。。。它不是一个一个段的解压而是交替进行解压,导致的结果就是我没有办法通过在一段内存上面设一次断点,也没有办法通过先在数据段设断,然后再在代码段设断的方式获取OEP,最后只能用蛮办法,用OllyDbgRUN跟踪,设置跟踪中断条件为EIP执行到代码段,然后跟踪步进。。。。。。即便这样,中途ASPack竟然还特意到代码段Ret2次,呵呵,无耻啊。当然,最后通过这种办法,耗时超久,才找到了OEP.OllyDbg跟踪的指令条数在500W以上。。

01012475 . 6A 70 PUSH 70

01012477 . 68 E0150001 PUSH 复件_cal.010015E0

0101247C . E8 47030000 CALL 复件_cal.010127C8

01012481 . 33DB XOR EBX, EBX

01012483 . 53 PUSH EBX ; /pModule => NULL

01012484 . 8B3D 20100001 MOV EDI, DWORD PTR [1001020] ; |kernel32.GetModuleHandleA

0101248A . FFD7 CALL NEAR EDI ; /GetModuleHandleA

第一句就是入口

然后再通过堆栈平衡的方法来找OEP,结果不需要一秒钟就能找到,简直崩溃。

方法是在外壳通过PUSHAD保护现场后(很多外壳第一句都这样)

查看堆栈

0006FFA4 7C930208 ntdll.7C930208

0006FFA8 FFFFFFFF

0006FFAC 0006FFF0

0006FFB0 0006FFC4 -- 原有ESP

0006FFB4 7FFDB000

0006FFB8 7C92E4F4 ntdll.KiFastSystemCallRet

0006FFBC 0006FFB0

0006FFC0 00000000

然后根据堆栈平衡条件,在6FFA4下访问中断(一般的情况是在这里调用了POPAD了),或者在在6FFC4(原来的ESP-4=6FFC0处(其实也可以通过PUSHAD压入8个寄存器算到,6FFA4+(8-1)*4=6FFC0)下写中断(一般的情况是POPAD后,通过PUSH 地址,然后RET返回原有代码段),这样只要壳没有特意的隐藏OEP,一般一次下断就能获取OEP

恢复IAT

根据

010124E3 . FF15 0C120001 CALL NEAR DWORD PTR [100120C] ; msvcrt.__set_app_type

一句,可以找到100120C属于IAT的一部分。然后用ImportRec恢复就好了,不多说了。

非加密壳,还是比较容易脱的,当然,写就没有那么容易了。。。。

write by 九天雁翎(JTianLing) -- blog.csdn.net/vagrxie

iteye_13556
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
手工ASPack
08-09
【标题】:手工ASPack 在网络安全领域,逆向工程是一项重要的技能,而“手工ASPack”正是这一领域的一个关键话题。ASPack(Advanced Scratch Protector)是一款著名的软件压缩工具,它通过压缩和混淆代码来...
aspack(工具+手动
weixin_45574485的博客
08-27 6305
前准备: 工具:od,import reconstract,lordpe,peid 材料:一个有aspack的文件 步骤: 1.将带文件放到peid,查看是什么 2.确定文件以后,正式开始步骤。打开lordpe,将选项修改为打开pe,点击确定 3.将文件拖到lordpe,点击(特征值后面)三个点的地方,将重定位已分离勾上,记得一定要保存(这一步能去除随机基址,将进程基址固定在40...
Aspack手动
weixin_62586193的博客
03-27 2312
最近打了buu的DASCTF的比赛,但我是菜狗,就只做出了re的签到题(雾),还是学到了不少东西,就是Aspack手动,记录下。 首先是用peid查,可以看到是aspcak。(exeinfope也可以,就是启动没有那么快) 然后在lordPE里面选特征值旁边的三个点 设置重定位已分离,保存即可 然后用ollydbg进行动调找函数的入口: 会弹出一个窗口: 压缩代码? 模块“XXXX”的快速统计报告标明其代码段要么被压缩、加密,要么包含大量的嵌入数据,代码分析的结果可能非常不可靠或者完全错误
简单教程笔记(4)---手ASPACK
oBuYiSeng的博客
03-18 6471
本笔记是针对ximo早期发的基础视频教程,整理的笔记。        ximo早期发的基础视频教程 下载地址如下:            http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E8%A7%86%E9%A2%91%E6%95%99%E7%A8%8B/ximo%e8%84%b1%e5%a3%b3%e5
aspack的简单,望大牛勿喷。
weixin_33762130的博客
07-25 545
压缩下面是我的,win7x64下测试。1.单步跟踪2.ESP定律3.一步到达oep4.内存镜像法5.软件6.脚本7.模拟跟踪法,查看内存。SFX,imports,relocationstceip<地址,另外说下,这个跟踪好慢。。8.Sfx法以上方法第一种后还是来个机试试吧。话说区段一点也不一样。名字都乱了啊,文件也打不开。怀疑机有问题。AsP...
ESP定律压缩aspack
m0_60551756的博客
08-08 198
查看信息 查看加信息,这是压缩aspack 关闭随机基址 如果启用了随机基址,可以使用010Editor将OptionalHeader中这个字段置为0,关闭随机基址 寻找OEP 使用OD加载程序,当看到PUSHAD/PUSHFD指令时,判断程序已加 步过PUSHAD,对ESP(当前堆栈)下访问断点或者是写入断点 让程序跑起来,中断的地方即为POPAD/POPFD,从这里单步走几次之后,一般就能找到原始OEP DUMP内存到文件 在原始OE...
16种可用ESP定律
01-29
手动需要对汇编语言和调试工具有深入的理解,每个的解密机制不同,因此需要针对性地应用ESP定律或其他逆向工程技术。在实际操作中,还需要注意可能包含的反调试和混淆技术,这可能需要更复杂的技巧来绕过。
Crack破解必学+
09-15
04、手ASPack以及变形的几种方法 05、手FSG1.33变形 06、手PECompact 07、手nspack(北斗)和PEncrypt 08、手Yoda's Crypter以及SFX法 09、手Telock 10、手PETITE和FSG 2.0 11、ESP定律与内存断点...
多种软件
07-18
2.在使用这个机过程中遇到比较严重的问题或者不能,可以来E-mail和我交流,欢迎技术交流,谢绝任何形式的请求, 因为我只是个菜鸟。对于有价值的来信,我会酌情回复最新版机。 得到这个机的人,...
Import REConstructor(输入表重建工具) V1.7
06-18
用它配合手动,可以UPX、CDilla1、PECompact、PKLite32、Shrinker、ASPack, ASProtect等。 在运行Import REConstructor之前,必须满足如下条件: 1.目标文件已完全被Dump,另存为一个文件 2.目标文件必须...
ImportREC输入表重建工具
wang010366的专栏
09-11 2614
Import REConstructor可以从杂乱的IAT中重建一个新的Import表(例如加软件等),它可以重建Import表的描述符、IAT和所有的ASCII函数名。用它配合手动,可以UPX、CDilla1、PECompact、PKLite32、Shrinker、ASPack, ASProtect等。 在运行Import REConstructor之前,必须满足如下条件: 目标文件己
手动ASPack 2.12教程
qingye
10-11 1328
【工具】:OD,importREC用esp定律 ,看见寄存器的esp变红了。下载 
毕设系统—智慧工地监控管理系统-可执行内含文档代码-可执行内含文档代码.zip
07-28
毕设系统—智慧工地监控管理系统-可执行内含文档代码-可执行内含文档代码.zip
一种基于关键能力的体系贡献率评估方法_李丹.caj
07-28
一种基于关键能力的体系贡献率评估方法_李丹
化学/环境学-线性拟合/零级反应动力学拟合/一级反应动力学拟合/二级反应动力学拟合/三级反应动力学拟合软件
07-28
在进行实验的过程中,常常遇到做出一组数据却不知其效果的困扰,如做出标准曲线却不知其拟合优度。一般需用电脑的专业软件进行拟合,如Origin、MATLAB等,但存在操作步骤复杂,软件需付费等问题。基于上述情况,针对线性拟合(linear fitting)和零级反应动力学拟合(zero-order reaction kinetics fitting)、一级反应动力学拟合(first-order reaction kinetics fitting)、二级反应动力学拟合(second-order reaction kinetics fitting)、三级反应动力学拟合(third-order reaction kinetics fitting)等特殊拟合场景,开发了一个软件,其优势有: a.使用BSD许可证,即允许免费使用、修改和分发; b.支持手机(Android系统)和电脑(Windows系统)双平台使用,便于在实验现场检验实验效果; c.软件界面均采用中文。
731545397801645熊猫侠v1.1.50.apk
07-28
731545397801645熊猫侠v1.1.50.apk
全国行政区划adcode,街道/乡镇级,更新至23年09月,sql文件
最新发布
07-28
更新时间:更新至2023年9月 数据内容:包括全国各级行政区划的最新adcode。adcode是中国行政区域的唯一编码,可用于各种地理信息系统和数据库。 数据格式:提供SQL文件,结构化数据文件,可以用于数据库的导入和更新。
餐饮咖啡西餐厅饮品创业计划书运营策划书.doc
07-28
商业计划书,创业计划书,项目计划书,计划书模板 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
wpf中团队独立开发模块和左侧2个菜单的框架演示
07-28
wpf中团队独立开发模块和左侧2个菜单的框架演示。 1.付费下载后,博主保证能运行成功,不成功可以联系博主。 2.也可以私下单独联系博主进行付费下载
定位OEP:一步直达法与UPX/ASPACK
定位OEP的方法之一是利用一步直达法(searching for JMP or CALL instructions),这种方法主要针对如UPX和ASPACK这类简单的。通过查找JMP(0E9)或CALL(0E8)等长跳转指令,这些在解密原始代码后,通常会通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值