脱壳入门(一)之分析Aspack壳

最新推荐文章于 2024-07-24 17:12:21 发布
最新推荐文章于 2024-07-24 17:12:21 发布
阅读量5.7k 收藏 19
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w_g3366/article/details/94428731
版权

文章目录

脱壳

0.前置知识

  • 熟悉PE文件结构
    • PE文件的Magic Code是什么
      • MZ头,PE头
    • PE文件头的信息有哪些?
      • 运行平台、时间戳、PE文件属性、区段数量、扩展头的大小
    • PE文件的扩展头的信息有哪些?
      • EP的RVA、ImageBase(400000)、代码段起始地址、数据段起始地址 数据目录表、数据目录表项数量、文件对齐、内存对齐、映像总大小
    • PE文件中区段信息有哪些?
      • 区段名称、虚拟地址、虚拟大小、文件偏移、文件大小(对齐后)、区段属性(C0000020、60000020)
    • PE文件中数据目录表有哪些?
      • 导出表、导入表、异常表、tls表、资源表、IAT、重定位表
    • 一个进程,3环有哪些数据结构
      • 进程环境块(PEB)、线程环境块(TEB)、tls结构
    • 导入表结构
      导入表结构
  • 熟悉汇编指令

1 .壳的基础知识

1.1壳的加载过程

​ 壳和病毒类似,都需要比原程序代码更早获得控制权.壳修改了原程序执行文件的组织结构,从而能够比原代码早获得控制权,而且不会影响原代码的运行.常见的壳的加载过程

  1. 保存入口参数
  2. 获取壳本身需要的API地址
  3. 解密原程序各个区块的数据
  4. IAT初始化
  5. 重定位项的处理
  6. HookAPI
  7. 跳转到程序原入口点(OEP)

示例:分析一个简单的aspack壳

1.保存寄存器环境

一般是pushad

。。。

2.加载一些必要的API

获取VirtualAlloc / VirtualFree / VirtualProtect API函数地址
在这里插入图片描述

3.解密解压缩代码

在这里插入图片描述

根据堆栈可以看出参数的作用,0x1800是申请空间大小

在这里插入图片描述
申请了两块内存空间,一块大小0x1800,没分析出保存的是什么,应该是和加密算法有关,另一块大小是(区段大小+0x10E),保存的是解密后的区段代码。
在这里插入图片描述

在这里插入图片描述
循环修复call,jmp跳转的地址(根据分析是修改所有首字节是05的地址)
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

4.修复重定位

修复重定位的公式:

重定位表中存储两个有用字段:

  1. 需要重定位的分页地址

  2. 需要重定位的分页偏移

重定位分为两步:

  1. 计算出 重定位地址,要重定位的地址=模块基地址+分页地址+分页偏移

  2. 修复要重定位的地址中数据,[要重定位的地址] ­ 默认模块基地址 + 当前模块基地址

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

5.填充IAT

原理:

① 从导入表中获取dll名称

② 从导入表中的INT,获取函数名称或者序号

③ 通过GetModuleHandleA或者LoadLibraryA获取模块基地址 通过GetProcAddress获取函数地址

④ 将函数地址填充到对应IAT数组中

在这里插入图片描述
根据第四个字段可以找到导入模块名字
在这里插入图片描述

双层循环

  • 外层遍历导入模块
  • 内层遍历DLL模块导入函数,填充IAT表

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

5.修改属性,跳转原始OEP

在这里插入图片描述

初识逆向
关注
LevelDB 源码分析
zhipingxi的博客
10-09 2252
本文基于leveldb 1.9.0代码。 整体架构 如上图,leveldb的数据存储在内存以及磁盘上,其中: memtable:存储在内存中的数据,使用skiplist实现。 immutable memtable:与memtable一样,只不过这个memtable不能再进行修改,会将其中的数据落盘到level 0的sstable中。 多层sstable:leveldb使用多个层次来存储sstable文件,这些文件分布在磁盘上,这些文件都是根据键值有序排列的,其中0级的sstable的键值可能会
脱壳入门基础
07-15
脱壳入门基础 在一些计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的一般都是在身体外面一样理所当然(但后来也出现了所谓的“中带籽”的)。由于这段程序和自然界的在功能上有很多相同的地方,基于命名的规则,大家就把这样的程序称为“”。软件加是作者写完软件后,为了保护自己的代码或维护软件产权等利益所常用到的手段。目前有很多加工具,既然有矛,自然就有盾,脱壳即去掉软件所加的,软件脱壳有手动脱和自动脱壳之分,
关于手动脱壳分析及方法总结
最新发布
Yyx260019的博客
07-24 801
单步跟踪法的原理就是通过Ollydbg的单步(F8)、单步进入(F7)和运行到(F4)功能,完整走过程序的自脱壳过程,跳过一些循环恢复代码的片段,并用单步进入确保程序不会略过OEP。这样可以在软件自动脱壳模块运行完毕后,到达OEP,并dump程序。
UPX脱壳全程分析(转)
banhanjun1518的博客
07-05 455
【文章标题】: UPX脱壳全程分析 【保护方式】: 本地验证 【使用工具】: OllyDBG 【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教! -------------------------------------------------------------------------------- 004629D0 &...
脱壳手把手入门(详细)——aspack压缩
weixin_42636579的博客
03-04 3794
记录一下脱壳过程——aspack
aspack的简单脱壳,望大牛勿喷。
weixin_33762130的博客
07-25 569
压缩下面是我的脱壳,win7x64下测试。1.单步跟踪2.ESP定律3.一步到达oep4.内存镜像法5.脱壳软件6.脚本脱壳7.模拟跟踪法,查看内存。SFX,imports,relocationstceip<地址,另外说下,这个跟踪好慢。。8.Sfx法以上方法第一种脱壳后还是来个脱壳机试试吧。话说区段一点也不一样。名字都乱了啊,文件也打不开。怀疑脱壳机有问题。AsP...
脱壳aspack压缩
Nattevak
12-29 1947
  一般再执行Shell部分代码时,会先保存上下文环境,使用push指令(pushad/pushfd),执行Shell部分代码之后,再使用pop指令(popad/popfd)恢复环境,使堆栈平衡,故使用ESP定律进行简单脱壳。 1.使用OD加载程序,发现pushad指令,判断程序已加。 2.按下F8单步步过,使得程序走到CALL的位置,然后对ESP下断点,再将程序运行起来 3.程序断下来的地方即为pop的地方 4.F8单步步过,找到原始OEP 5.在原始OEP处,右键菜单,选择用OllyDu
脱壳基础知识入门--强烈推荐
11-30
再来说说OllyDbg,这是一个常用于Windows平台下的动态分析工具,它能够帮助脱壳者在运行时分析和调试程序。通过OllyDbg,我们可以查看程序的运行状态,设置断点,单步执行等,从而了解程序的执行流程和逻辑。OllyDbg...
菜鸟 腾飞脱壳教程视频
07-07
该视频适用于刚刚从事系统安全模块的IT同行,该学习视频主要讲解了一些常见的脱壳方法,比如ASPACK,FSG2.0等脱壳方法。
一个不错的查教程.doc
09-04
如果发现软件使用了如ASPACK,就需要用特定的脱壳工具进行处理。对于高级的,可能需要手动使用OllyDBG这样的动态调试器进行脱壳。 在某些情况下,即使PEiD没有直接显示加,我们也需要进一步确认。可以点击...
【REVERSE】REVERSE入门
Miscedence__的博客
04-24 3912
关于REVERSE 写在前面   Hi,这里是关于REVERSE(逆向)的入门。关于逆向,有些话想说。逆向的学习需要理论,也需要实践。广义上,逆向不仅仅是调试二进制可执行格式,反汇编,破解;逆向是心理模型的建立过程,以及模型实现的底层细节的定位过程。从理论上,为了理解一个程序,系统,你读代码,无论是源码还是汇编,甚至二进制机械指令,都是一个逆向过程.  本篇将对REVERSE(逆向)一些常用工具及使用方法进行介绍。逆向所需具备的知识技能很多很杂,要学好逆向和熟练掌握反汇编,编程是必须会的,再接着就是必须熟练
全能ASPack自动脱壳工具 绿色版.rar
03-03
全能ASPack自动脱壳工具 绿色版.rar
ORiEN脱壳分析
07-14
ORiEN脱壳分析文档和脱壳以后的程序,ORiEN虽然没有接触过,但是脱掉它还是蛮简单的。
aspack脱壳工具
11-30
aspack脱壳工具 可对aspack进行脱壳
Un-ASPACK脱壳汉化版aspack 2.12 脱壳
06-25
Un-ASPACK脱壳汉化版aspack 2.12 脱壳一个脱壳软件
ASPack(所有版本脱壳机)t汉化版
06-28
ASPack(所有版本脱壳机)t汉化版!!!!!!!!!!!!!!
逆向工具基础学习(一)
kinginone的博客
05-16 568
简单脱壳原理(借鉴学习吧) 在这里,给大家分享一下关于一些基础知识的运用。 有些时候,忍不住在想很多东西,明明是一些很基础的东西,却要藏起来收费学习,在进去之后发现根本没有什么很大的价值。其实就是一些基础,让大家入个门,也不是什么高深的东西,所以,在这里给大家分享一下,虽然借鉴了很多东西,但也有自己的感悟和想法,希望对想入门学习的有所帮助。 下面是一些过程介绍: 1.通过PEID软件查询有没有加。 这里说一下,如果说没有加,在工具字段显示的就是具体使用语言,这里是ASPack 2.12加了。 2.通
脱壳基础知识入门
adam001521的博客
11-30 1893
脱壳基础知识入门 现在加解密发展己形成2个分支了,一个就是传统的算法,另一个就是加密。越来越多的软件采用了密码学相关算法,现在要做出一个软件注册机己不象前几年那么容易,这就要求解密者必须要有一定的数学功底和密码学知识,而这些在短时间内是不容易掌握的。除了密码学的应用,越来越多的软件加了,因此要求解密者必须掌握一些脱壳技术,这就使得成了解密必须迈过的一个门槛。发展到今天,强度越来越高了,将...
逆向分析入门:手动脱壳技巧解析
脱壳是为了去除程序上的保护层,即所谓的,以便能够深入分析程序的原始二进制代码。的种类多样,有的侧重于压缩程序以减小体积,如UPX、ASPack、PECompack,这类称为压缩;另一些则注重加密,增强保护,例如...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值