脱壳第一讲,手工脱壳ASPack2.12的壳.ESP定律

最新推荐文章于 2024-02-12 11:54:17 发布
最新推荐文章于 2024-02-12 11:54:17 发布
阅读量413 收藏
点赞数
文章标签: 运维
原文链接:http://www.cnblogs.com/iBinary/p/7726721.html
版权

      脱壳第一讲,手工脱壳ASPack2.12的壳.ESP定律

一丶什么是ESP定律

首先我们要明白什么是壳.壳的作用就是加密PE的.

而ESP定律就是壳在加密之前,肯定会保存所有寄存器环境,而出来的时候,则会恢复所有寄存器的环境.

这个就成为ESP定律.(当然我个人理解.可能有更好的理解,请下方评论,我会更改)

pushad的时候,肯定所有寄存器入栈.

二丶利用工具脱掉ASPACK2.12的壳

首先,我们找一个带壳的工具,利用PEID查壳.查看是什么壳.

 

 

OD附加进程.

 

 

可以看出,一开始就已经pushad (保存所有寄存器环境)了,那么只需要找到popad的位置即可.

思路:

       因为pushad的时候,所有寄存器传参,当popad的时候,肯定会修改寄存器的值

所以在栈中下硬件访问或者硬件写入断点.

先F8走一步,看栈

 

 

看得出,所有寄存器已经入栈了.所以我们在数据窗口中,输入栈地址.(保存寄存器的栈地址,随便哪个都可以)然后下硬件访问断点.

 

 

我是定位到栈顶的位置,12ffa8的位置,当然也可以是下边的.

下硬件访问或者硬件写入断点.

 

 

然后F9运行起来.发现会断下来.

 

 

这个地方则是出来的地方,那么ASPack的壳有一个特征,就是出来之后会跳转,然后有两个ret

因为程序是32位程序,所以我们要放到32位的虚拟机里面去脱壳.

然后我们继续F8跟随.一直跟随到一个JMP位置,这个地方就是OEP了.

 

 

然后我们使用OD的插件去脱壳, 这个插件是修复PE的导入表的.可以直接利用.

 

 

然后点击脱壳即可,如果没有这个工具,你需要自己手动解析PE,然后重建导入表才可以.

默认选择方式1

脱壳之后,查看是否还有加密.

 

 

 没有pushad保存寄存器环境了,已经成功脱壳.

 

 课堂代码资料: 链接:http://pan.baidu.com/s/1skKYA5n 密码:2di6

 作者:IBinary
出处:http://www.cnblogs.com/iBinary/
版权所有,欢迎保留原文链接进行转载:)

注意,一定是在32位系统下脱壳.

转载于:https://www.cnblogs.com/iBinary/p/7726721.html

weixin_30565327
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Aspack脱壳
09-21
Aspack全系列脱壳机,源于网络,用于网络
脱壳第一,手工脱壳ASPack2.12.ESP定律-附件资源
03-05
脱壳第一,手工脱壳ASPack2.12.ESP定律-附件资源
aspack(工具+手动)脱壳
weixin_45574485的博客
08-27 6251
脱壳前准备: 工具:od,import reconstract,lordpe,peid 材料:一个有aspack的文件 步骤: 1.将带文件放到peid,查看是什么 2.确定文件以后,正式开始脱壳步骤。打开lordpe,将选项修改为打开pe,点击确定 3.将文件拖到lordpe,点击(特征值后面)三个点的地方,将重定位已分离勾上,记得一定要保存(这一步能去除随机基址,将进程基址固定在40...
学习二:Aspack 2.12脱壳
禾苗雨的专栏
02-13 3879
学习二:Aspack 2.12脱壳SkyJackerHttp://blog.csdn.net/skyjackerEmail:HeMiaoYu gmail.comQQ:677055172007-2-101、加过程自动动手编写一个简单的窗体程序.使用Aspack2.12(按默认选项),生成已加程序NullFormAspack.exe.原始文件与加后文件信息描述:原
脱壳-ASPack 2.12
谢绝留言与私信
02-13 2663
前言ASPack 2.12OEP可以用查找命令的方法找到, 只有一处结果. IAT用ImpREC直接可以修复.记录查ASPack(2.12-2.XX)[-] // by DIE ASPack 2.12 -> Alexey Solodovnikov // by PEID找OEP 只有一处 006A13BF006A13BA 68 24515E00 push 005
关于ASPack 2.12软件的脱壳方法[图文]
最新发布
2301_81058513的博客
02-12 585
好,我们可以高兴的看到,发生了jnz,就是不等于0就跳转,而且是红色的方向向下跳转。红色代表跳转已经实现,方向是向下,就是到了地址为006AF3BA的地方,然后这个地 方push压入一个地址,通过retn方式返回。其实ASPack 2.12是比较简单的东西,可以说,很大程度上,它可以对程序的大小进行压缩,方便发布。硬件断点就是hr ,然后加上我们刚刚copy的地址,然后回车,这个时候我们可以再菜单的。其实ASPack 2.12是比较简单的东西,可以说,很大程度上,它可以对程序的大小进行压缩,方便发布。
Aspack stripper 自动脱壳 ASPack 2.12 - Alexey Solodovnikov.rar
10-08
1. **识别ASPack特征**:首先,工具会扫描目标文件,查找ASPack特有的标志和结构,以确认该文件是否被ASPack压缩。 2. **解密代码**:一旦确认了文件被ASPack处理过,Aspack stripper会尝试解密文件中的加密数据,...
Aspack脱壳工具.rar
10-14
1. **高压缩率**:Aspack的压缩算法能够显著减小可执行文件的大小,通常可以达到50%以上的压缩比。 2. **反调试**:Aspack会添加一些反调试技巧,使得使用调试器跟踪程序变得更加困难。 3. **代码混淆**:Aspack可能...
Un-ASPACK脱壳汉化版aspack 2.12 脱壳
06-25
Un-ASPACK脱壳汉化版aspack 2.12 脱壳一个脱壳软件
分享一个之前写的mbr的分析过程
被遗弃的庸才博客
12-08 461
一、概述(前言) 修改MBR,挂钩13号中断,继续挂钩BlLoaderBlock结构得到内核基址,完成对IoInitSystem挂钩执行样本的驱动文件,为防止MBR被修复又挂钩了磁盘的IRP读写。 流程图 图一 二、技术细节详细分析 脱壳 首先查,显示为ASPack(2.12-2.42),方法就是直接esp定律。od会帮你断,之后一个大跳到达oep,脱壳结束,如下图二所示。 图二 脱壳之后的样本 脱壳结束之后看看样本做了些什么事情,f5之后可以发现一个被标红的地址(0x7FFE0
aspack脱壳工具
11-30
aspack脱壳工具 可对aspack进行脱壳
ASPack_2.12脱壳
04-24
ASPack_2.12脱壳
ASPACK V2.12 脱壳工具
03-02
ASPACK V2.12 脱壳工具,轻松的脱下
ASPACK 2.12
12-29
<br> <img src=DownloadFilesother_activeximagesaspack_scr1.gif><br> <br> ASPACK 2.12 是高效的Win32可执行程序压缩工具,能对你开发的32位Windows可执行程序进行压缩,使最终文件减小达70%!<br> <br> ASPACK 在ZIP压缩格式工业标准的基础上进行改进,压缩率提高了10%~%20, ASPACK使Windows 95/98/NT下运行的程序文件和库文件变的更小,减少了文件在网络中的传输时间和通过因特网下载的时间,并可以保护开发出来的程序不受黑客的破解或攻击。用ASPack压缩的程序将自动包含所有的程序文件,保证和不压缩前一样顺畅高效地执行。<br> <br> ASPACK的程序界面如下(点击可放大):<br> <br> <img src=DownloadFilesother_activeximagesaspack_scr2.gif border="0"> <img src=DownloadFilesother_activeximagesaspack_scr3.gif border="0"> (1)程序主界面 (2)压缩过程 <br> <br> ASPACK的关键特色: 能够对可执行程序(EXE、DLL、OCX)进行高效率的压缩; 能够对程序的代码、数据、资源文件等进行编码和压缩; 简单明了的操作界面,对预压缩的程序自打包功能,并支持长文件名; 其快速高效的压缩算法是别的压缩程序无法比拟的; 可以直接完全地集成到Windows操作系统中,非常易于使用; 完全支持Windows 95、Windows 98、Windows NT/2000/XP操作系统。 ASPACK 的优势: 可将执行程序文件的大小平均减少40%~70%; 减少了文件在网络中的传输时间和通过因特网下载的时间; 使Windows应用程序需要的存储空间变得更少; 保护源代码不受到偷看、破解、反编译等破坏; 对最终的压缩文件的发布不按执行次数来收取版税。 ASPACK 完全兼容Microsoft Visual C++、Visual Basic、Inprise (Borland) Delphi and C++ Builder及其它的Win32开发工具。<br><br>
AsPack v2.12
02-23
非常好用的可执行文件压缩工具
ASPack 2.12
AlexSmoker的博客
02-06 949
,是ASPack2.12 首先看到pushad第一反应是esp定律。 在esp处设置硬件执行断点,然后F9执行到下图位置 继续向下走,发现有个间隔很大的返回地址多半就是OEP 执行到OEP进行脱壳 设置OEP的RVA为0x1000 转储IAT,对文件IAT进行修复。 剪切掉无效指针 转储到Dump文件中执行,查看执行效果,发现可以正常运行。 ...
脱壳aspack压缩
Nattevak
12-29 1839
  一般再执行Shell部分代码时,会先保存上下文环境,使用push指令(pushad/pushfd),执行Shell部分代码之后,再使用pop指令(popad/popfd)恢复环境,使堆栈平衡,故使用ESP定律进行简单脱壳。 1.使用OD加载程序,发现pushad指令,判断程序已加。 2.按下F8单步步过,使得程序走到CALL的位置,然后对ESP下断点,再将程序运行起来 3.程序断下来的地方即为pop的地方 4.F8单步步过,找到原始OEP 5.在原始OEP处,右键菜单,选择用OllyDu
Aspack手动脱壳
weixin_62586193的博客
03-27 2298
最近打了buu的DASCTF的比赛,但我是菜狗,就只做出了re的签到题(雾),还是学到了不少东西,就是Aspack的手动脱壳,记录下。 首先是用peid查,可以看到是aspcak。(exeinfope也可以,就是启动没有那么快) 然后在lordPE里面选特征值旁边的三个点 设置重定位已分离,保存即可 然后用ollydbg进行动调找函数的入口: 会弹出一个窗口: 压缩代码? 模块“XXXX”的快速统计报告标明其代码段要么被压缩、加密,要么包含大量的嵌入数据,代码分析的结果可能非常不可靠或者完全错误
手动脱ASPack 2.12教程
qingye
10-11 1327
工具】:OD,importREC用esp定律 ,看见寄存器的esp变红了。下载 
aspack 2.12 -> alexey solodovnikov
06-23
ASPack 2.12是由俄罗斯程序员Alexey Solodovnikov开发的一款压缩软件。该软件能够将常见的可执行程序、DLL库和驱动程序进行压缩,以减小文件大小。ASPack 2.12的压缩率非常高,同时不影响程序的运行速度和稳定性,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值