脱壳手把手入门(详细)——aspack压缩壳

最新推荐文章于 2025-01-30 14:58:18 发布
最新推荐文章于 2025-01-30 14:58:18 发布
阅读量4.8k 收藏 10
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42636579/article/details/114378827
版权

脱壳——aspack

00.aspack.exe

程序下载链接:https://pan.baidu.com/s/1bqLALZS7wx2Cn4iw7qUtWw
提取码:f549

1 寻找OEP

  • ESP 定律(单步步过 pushad,对 ESP 下硬件访问或写入断点,popad 后会再次访问到 ESP 的地址,所以会断下,OEP就在附近了)

在这里插入图片描述

  • F9运行,断下

在这里插入图片描述

  • push+ret => jmp

在这里插入图片描述

  • 进入这个 call 查看(根据一些程序的特征定位,也可以找到OEP,这里进入这个call确认一下)

在这里插入图片描述

2 Dump 内存到文件

  • 使用OD,在 OEP 处 -> 使用OllyDump 脱壳调试进程

在这里插入图片描述

  • 会新生成一个文件,此时再用 ImportREC 修复IAT

3 修复文件

在这里插入图片描述

在这里插入图片描述

  • 但此时打开这个 00.aspack.dump_.exe 还是出错,因为没有关闭随机基址,再使用 010Editor 关闭随机基址即可(关键点 4081

方法二(特征码搜索寻找OEP)

  • 先让程序运行,再OD中查看模块窗口,双击进入exe模块

在这里插入图片描述

  • 可以看到,该程序对 IAT 的调用方式(FF15…)

在这里插入图片描述

  • 同时可拖入PEiD,查看其链接器版本,基本能确定是VS编写的程序

在这里插入图片描述

  • 从而可以搜索特征码,寻找OEP(call+jmp)

    • OD中快捷键 Ctrl+B:E8 ?? ?? ?? ?? E9

在这里插入图片描述

  • 下图中找到的 OEP,和刚第一种方法搜到的一样

在这里插入图片描述

  • 后续 Dump 和 修复 和上面的相同(注意设置硬件执行断点,下次进行 Dump 时可断在刚找到的OEP)

特征补充

① 二进制特征

​ 比如 release版的VS2013 是:

​ oep入口特征:E8???E9

第一个CALL内的特征:5657BF4EE640BBBE0000FFFF3BC7

② API特征

​ 比如 release版的VS2013 的第一个API调用是:

	GetSystemTimeAsFileTime

​ 比如 vc6.0 的第一个API调用是:

​ GetVersion

​ 比如 Delphi 程序第一个API调用是:

	GetModuleHandleA

③编译器特征

IAT调用不同的编译器生成的调用机器码是不一样

vs -》 call [IAT地址] -》 FF15 xx xx xx xx

delphi -> jmp [IAT地址] -》 FF25 xx xx xx xx

Ekgy
关注
Aspack脱壳工具.rar
10-14
很不错的Aspack脱壳工具 ,经常使用,分享给大家,欢迎朋友们下载
ASPack(所有版本脱壳)t汉化版
06-28
ASPack(所有版本脱壳)t汉化版!!!!!!!!!!!!!!
探秘软件保护之“壳”:类型、混淆原理与破解之道
最新发布
m0_57836225的博客
01-30 1020
希望通过这篇文章,您对软件壳的世界有了更深入的了解,无论是惊叹于技术的神奇,还是意识到保护的重要,都让我们更加珍视软件背后凝聚的智慧与努力。无论是专业的破解团队,还是试图窥探软件秘密的个人,面对 Armadillo 的防护,都如同撞上了一堵坚硬的墙壁,难以逾越,在游戏、金融等对安全性要求极高的软件领域备受青睐。通过将程序代码置于虚拟机中运行,使得代码的执行路径变得无比复杂,如同把软件藏进了一座迷宫,破解者即便费尽心机找到入口,也极易迷失在错综复杂的路径中,广泛应用于各类对安全需求近乎苛刻的软件场景。
aspack(工具+手动)脱壳
weixin_45574485的博客
08-27 7630
脱壳前准备: 工具:od,import reconstract,lordpe,peid 材料:一个有aspack壳的文件 步骤: 1.将带壳文件放到peid,查看是什么壳 2.确定文件壳以后,正式开始脱壳步骤。打开lordpe,将选项修改为打开pe,点击确定 3.将文件拖到lordpe,点击(特征值后面)三个点的地方,将重定位已分离勾上,记得一定要保存(这一步能去除随机基址,将进程基址固定在40...
脱壳aspack压缩壳
Nattevak
12-29 2176
  一般再执行Shell部分代码时,会先保存上下文环境,使用push指令(pushad/pushfd),执行Shell部分代码之后,再使用pop指令(popad/popfd)恢复环境,使堆栈平衡,故使用ESP定律进行简单脱壳。 1.使用OD加载程序,发现pushad指令,判断程序已加壳。 2.按下F8单步步过,使得程序走到CALL的位置,然后对ESP下断点,再将程序运行起来 3.程序断下来的地方即为pop的地方 4.F8单步步过,找到原始OEP 5.在原始OEP处,右键菜单,选择用OllyDu
关于ASPack 2.12加壳软件的脱壳方法[图文]
2301_81058513的博客
02-12 1348
好,我们可以高兴的看到,发生了jnz,就是不等于0就跳转,而且是红色的方向向下跳转。红色代表跳转已经实现,方向是向下,就是到了地址为006AF3BA的地方,然后这个地 方push压入一个地址,通过retn方式返回。其实ASPack 2.12是比较简单的东西,可以说,很大程度上,它可以对程序的大小进行压缩,方便发布。硬件断点就是hr ,然后加上我们刚刚copy的地址,然后回车,这个时候我们可以再菜单的。其实ASPack 2.12是比较简单的东西,可以说,很大程度上,它可以对程序的大小进行压缩,方便发布。
aspack的简单脱壳,望大牛勿喷。
weixin_33762130的博客
07-25 666
压缩壳下面是我的脱壳,win7x64下测试。1.单步跟踪2.ESP定律3.一步到达oep4.内存镜像法5.脱壳软件6.脚本脱壳7.模拟跟踪法,查看内存。SFX,imports,relocationstceip<地址,另外说下,这个跟踪好慢。。8.Sfx法以上方法第一种脱壳后还是来个脱壳机试试吧。话说区段一点也不一样。名字都乱了啊,文件也打不开。怀疑脱壳机有问题。AsP...
Aspack壳手动脱壳
weixin_62586193的博客
03-27 2561
最近打了buu的DASCTF的比赛,但我是菜狗,就只做出了re的签到题(雾),还是学到了不少东西,就是Aspack的手动脱壳,记录下。 首先是用peid查壳,可以看到是aspcak壳。(exeinfope也可以,就是启动没有那么快) 然后在lordPE里面选特征值旁边的三个点 设置重定位已分离,保存即可 然后用ollydbg进行动调找函数的入口: 会弹出一个窗口: 压缩代码? 模块“XXXX”的快速统计报告标明其代码段要么被压缩、加密,要么包含大量的嵌入数据,代码分析的结果可能非常不可靠或者完全错误
脱壳入门(一)之分析Aspack
w_g3366的博客
07-02 5885
文章目录脱壳0.前置知识1 .壳的基础知识1.1壳的加载过程示例:分析一个简单的aspack脱壳 0.前置知识 熟悉PE文件结构 PE文件的Magic Code是什么 MZ头,PE头 PE文件头的信息有哪些? 运行平台、时间戳、PE文件属性、区段数量、扩展头的大小 PE文件的扩展头的信息有哪些? EP的RVA、ImageBase(400000)、代码段起始地址、数据段起始地址...
手工脱壳AsPack压缩脱壳-随机基址
baochi8399的博客
07-18 973
一、工具及壳介绍二、脱壳1、ESP定律脱壳2、单步跟踪脱壳3、基址重定位的修复 一、工具及壳介绍 使用工具:Ollydbg、PEID、ImportREC、LoadPE、010 Editor 查看待脱壳程序 查看AsPack壳特有的区段信息 小结:根据链接器版本推断待脱壳程序应该是VS 2013编...
工具脱 ASPack
追太阳的人!
08-22 542
对于想学破解的人来说,脱壳是必不可免的,现在分享下我脱ASPack的壳的教程,下面是下载的链接地址,教程在网盘里面,教程做的有点大,不好上传,有什么建议或者好的见解希望多多告知,脱壳破解的教程,会不断更新的 网盘地址:http://pan.baidu.com/share/link?shareid=6871&uk=571157174
Aspack脱壳
09-21
Aspack全系列脱壳机,源于网络,用于网络
ASPACK压缩壳(共17个版本)
08-30
AsPack是高效的Win32可执行程序压缩工具,能对程序员开发的32位Windows可执行程序进行压缩,使最终文件减小达70%!目前针对ASPACk所开发的脱壳工具软件也有许多,包括ASPACK ATRIPPER 、ASPACKDIE 、ASPROTECT等
aspack脱壳工具
11-30
aspack脱壳工具 可对aspack进行脱壳
ASPack_2.12脱壳
04-24
ASPack_2.12脱壳
ASPack加壳压缩软件
04-20
解压即用无需安装神马 就个EXE 和个俩个配置文本
万能脱壳机 能够脱ASPack FsG UPX壳
05-23
以下是关于"万能脱壳机"及其支持的几种壳类型——ASPack、FsG和UPX的详细知识讲解。 首先,ASPack是一种著名的文件压缩和加密工具,常用于减少可执行文件的大小,提高其加载速度。然而,由于其强大的混淆能力,...
Aspack stripper 自动脱壳 ASPack 2.12 - Alexey Solodovnikov.rar
10-08
Aspack stripper就是这样的一个工具,它的主要功能是对使用ASPack 2.12版本压缩的可执行文件进行自动脱壳。这个工具的存在,使得安全分析人员能够揭示被压缩和混淆的原始代码,从而更好地理解软件的工作原理,检查...
AsPack压缩文件脱壳工具的全面解析
在上述文件中提到的“脱壳利器”指的是AspackDie.eXe程序,它是一个能够脱掉AsPack压缩壳的工具,可解压2000年之后的AsPack版本压缩的文件。这意味着,对于任何已知的或者是列出的AsPack版本,AspackDie.eXe都能进行...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值