aspack(工具+手动)脱壳

最新推荐文章于 2024-02-12 11:54:17 发布
最新推荐文章于 2024-02-12 11:54:17 发布
阅读量6.2k 收藏 18
点赞数 6
文章标签: 脱壳 aspack od esp大法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45574485/article/details/100102533
版权

脱壳前准备:
工具:od,import reconstract,lordpe,peid
材料:一个有aspack壳的文件
步骤:
1.将带壳文件放到peid,查看是什么壳aspack的壳
2.确定文件壳以后,正式开始脱壳步骤。打开lordpe,将选项修改为打开pe,点击确定
在这里插入图片描述
3.将文件拖到lordpe,点击(特征值后面)三个点的地方,将重定位已分离勾上,记得一定要保存(这一步能去除随机基址,将进程基址固定在400000,方便脱壳)
在这里插入图片描述
4.接下来开始重头戏了,用od打开壳文件,开始脱壳。od会提示代码混淆,选择否
在这里插入图片描述
5.od汇编代码界面会停在pushad位置,这时我们按下F8,单步一下,会发现右边的界面esp是红的,这时选中esp,右键,设置硬件断点
在这里插入图片描述
6.下好断点以后,F9,运行到断点处,会发现现在是早popad的下一句指令,此时有一个跳转和一个push,然后是函数返回。
在这里插入图片描述
7.此时我们处于跳转jnz处,按下F7,单步到push,再按两下F7,就到了函数的oep(此时处在一个call,回车进去能看到四个安全函数,能确定函数入口就在后面)
回车进入查看
在这里插入图片描述
8.esc返回到回车前的位置,右键该命令行,在此处脱壳
在这里插入图片描述
9.弹出的窗口中,取消勾选重建输入表,我们注意到这里的起始地址是40000,因为进行了第三步,所有我们不需要修改这里,同时将入口地点“修正为”那个框的值复制,等会儿有用。然后点击脱壳,名字随便取一个
在这里插入图片描述
10.此时不要关闭od,打开我们的import reconstract,准备重建导出表,在该工具的最上面的下拉框内,找到我们正在od调试的进程,选中。
在这里插入图片描述
11.附加以后,将第9步复制的值粘贴到oep框,然后iat自动检索,再获取导入表
在这里插入图片描述
12.点击修正转储,选中第9步生成的那个文件,我是生成的一个名叫123.exe的文件
在这里插入图片描述
13.生成了一个123_.exe文件,我们点击程序,能正常运行
在这里插入图片描述
14.再次使用查壳工具peid,可以发现壳不见了,ep变成了.text,脱壳成功
在这里插入图片描述
15.为什么前面od脱壳的时候选则call安全函数那个位置,因为,我在后面的指令处脱壳失败了。。。。(丢人hhh)

永川的川
关注
  • 6
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
全能ASPack自动脱壳工具 绿色版.rar
03-03
全能ASPack自动脱壳工具 绿色版.rar
万能脱壳
07-24
万能脱壳机采用的是ap0x编写的脱壳引擎 目前支持 ASPack 2.12 FsG2.x UPX1.x-2.x的壳
ASPack(所有版本脱壳机)t汉化版
06-28
ASPack(所有版本脱壳机)t汉化版!!!!!!!!!!!!!!
脱壳入门(一)之分析Aspack
w_g3366的博客
07-02 5523
文章目录脱壳0.前置知识1 .壳的基础知识1.1壳的加载过程示例:分析一个简单的aspack脱壳 0.前置知识 熟悉PE文件结构 PE文件的Magic Code是什么 MZ头,PE头 PE文件头的信息有哪些? 运行平台、时间戳、PE文件属性、区段数量、扩展头的大小 PE文件的扩展头的信息有哪些? EP的RVA、ImageBase(400000)、代码段起始地址、数据段起始地址...
关于ASPack 2.12加壳软件的脱壳方法[图文]
最新发布
2301_81058513的博客
02-12 568
好,我们可以高兴的看到,发生了jnz,就是不等于0就跳转,而且是红色的方向向下跳转。红色代表跳转已经实现,方向是向下,就是到了地址为006AF3BA的地方,然后这个地 方push压入一个地址,通过retn方式返回。其实ASPack 2.12是比较简单的东西,可以说,很大程度上,它可以对程序的大小进行压缩,方便发布。硬件断点就是hr ,然后加上我们刚刚copy的地址,然后回车,这个时候我们可以再菜单的。其实ASPack 2.12是比较简单的东西,可以说,很大程度上,它可以对程序的大小进行压缩,方便发布。
Aspack手动脱壳
weixin_62586193的博客
03-27 2293
最近打了buu的DASCTF的比赛,但我是菜狗,就只做出了re的签到题(雾),还是学到了不少东西,就是Aspack手动脱壳,记录下。 首先是用peid查壳,可以看到是aspcak壳。(exeinfope也可以,就是启动没有那么快) 然后在lordPE里面选特征值旁边的三个点 设置重定位已分离,保存即可 然后用ollydbg进行动调找函数的入口: 会弹出一个窗口: 压缩代码? 模块“XXXX”的快速统计报告标明其代码段要么被压缩、加密,要么包含大量的嵌入数据,代码分析的结果可能非常不可靠或者完全错误
手工脱壳AsPack压缩脱壳-随机基址
baochi8399的博客
07-18 653
一、工具及壳介绍二、脱壳1、ESP定律脱壳2、单步跟踪脱壳3、基址重定位的修复 一、工具及壳介绍 使用工具:Ollydbg、PEID、ImportREC、LoadPE、010 Editor 查看待脱壳程序 查看AsPack壳特有的区段信息 小结:根据链接器版本推断待脱壳程序应该是VS 2013编...
(1)aspack脱壳并crack
~
05-25 247
HzorInline的代码行OUT=4053A9,这里其实就是OEP。Patch the PE file完成打包。
脱壳手把手入门(详细)——aspack压缩壳
weixin_42636579的博客
03-04 3296
记录一下脱壳过程——aspack
手动脱壳简简单单
04-28
手动脱壳简简单单 手动脱壳是指在逆向工程过程中,为了分析和研究软件的内部结构,需要将加壳的文件分离出来的过程。加壳是一种保护软件的方式,通过加密和压缩来保护软件的内部结构,使得软件更加难以被逆向分析。...
unaspackASPACK解包工具
02-24
ASPACK壳的绝对好用工具。能够解压常用ASPACK工具加的所有硬壳
ASPack加壳工具
12-11
ASPack 是专门对 WIN32 可执行程序进行压缩的工具,压缩后程序能正常运行,不会受到任何影响。而且即使你已经将 ASPack 从系统中删除,曾经压缩过的文件仍可正常使用。
aspack 2.29简体中文破解版.rar
09-02
软件介绍: 安装说明:软件安装后把破解补丁复制到C:\Program Files\ASPack目录下,然后运行补丁,点击补丁按钮。会弹出一个对话框,选择“是”,再打开“ASPack.exe”即可。软件默认界面为英文,你可以点击菜单Options,在language处选择China gb即是简体中文版。ASPACK能够将你的程序从1.76MB减少到460KB.ASPACK使用一个非常强大的压缩算法,在相结合的可执行文件中有一个非常小的解压缩程序(小于1KB)。压缩文件加载速度更快或更慢吗?在大多数情况下,程序加载速度更快,因为他们是小,需要更少的磁盘访问加载的可执行文件。解压是非常快的。但如果RAM是有限的,Windows可能会使用虚拟内存,在这种情况下,加载可能要比平常慢。
ASPack_2.12脱壳
04-24
ASPack_2.12脱壳
aspack脱壳工具
11-30
aspack脱壳工具 可对aspack进行脱壳
Crack破解必学+脱壳
09-15
Crack破解必学,手动脱壳,案例收集 01、破解工具的介绍 02、壳的介绍已经脱壳常用思路 03、手脱UPX的几种方法 04、手脱ASPack以及变形壳的几种方法 05、手脱FSG1.33变形壳 06、手脱PECompact 07、手脱nspack(北斗)...
零起点教你手动脱壳tuoke
06-15
"手动脱壳"是指不依赖自动化工具,而是通过人工分析和操作来去除程序的保护层,通常是为了揭示其内部代码和逻辑。在这个零起点的教学主题中,我们将深入探讨手动脱壳的基本概念、步骤和技术。 首先,我们需要理解...
手工脱ASPack
08-09
- **修复节区**:ASPack可能改变了节区信息,需要手动恢复原始的节区布局。 - **重定位**:根据需要重新计算和修复程序的导入、出口等重定位信息。 - **执行流程重建**:识别并重构程序的控制流程图,恢复正常的...
多种脱壳软件
07-18
的壳时,可能可以把这个地方扩展成手动脱壳。 OEP输入框和IAT输入框:功能已经弱化,由脱壳插件自动完成。 纠正映象大小:功能已经弱化,已经由dumpper自动完成。 五。关于private版本. 由于种种原因,不再发布public...
aspack 全自动脱壳
07-18
### 回答1: ASPack 全自动脱壳是指通过使用特定的软件工具来自动解压被 ASPack 打包加壳的可执行文件。ASPack 是一款常用的可执行文件压缩软件,它能够将程序代码进行压缩,减小文件体积,并添加加密保护,使得逆向工程更加困难。 实现 ASPack 全自动脱壳需要借助于一些反病毒、反调试工具或专门的脱壳器。这些工具能够自动检测和解析被 ASPack 打包的文件,找到加壳程序代码的入口点,并将压缩的代码还原为原始的可执行文件。 ASPack 全自动脱壳的步骤通常包括以下几个阶段: 1. 选择适当的脱壳工具:根据具体的需求,选择能够支持 ASpack 解压的脱壳工具或软件。 2. 加载被加壳的可执行文件:将需要脱壳的文件加载到脱壳工具中。 3. 设置脱壳参数:根据加壳文件的特点,设置脱壳的参数,例如加壳文件的版本、解密算法等。 4. 运行脱壳工具:运行脱壳工具进行解壳操作,工具会自动检测解密代码的位置,并将压缩的代码还原。 5. 生成解壳后的文件:脱壳工具将解密后的代码写入新的文件中,生成一个解壳后的可执行文件。 6. 执行解壳后的文件:最后,可以执行解壳后的文件,得到原始的可执行程序。 当然,不同的加壳程序可能具有不同的特征和算法,因此实际操作过程可能有所差异。对于一些特别复杂的加壳程序或者高级的保护机制,可能需要更加专业的工具或技术来完成全自动脱壳。 ### 回答2: ASPack是一款常用的可执行文件压缩工具,用于减小可执行文件的体积。全自动脱壳是指通过一系列的技术手段,自动化地将ASPack压缩的可执行文件进行解压,恢复成原始的可执行文件。 实现ASPack全自动脱壳主要包括以下步骤: 1. 静态分析:通过逆向工程,对ASPack压缩的可执行文件进行静态分析,了解其内部结构和机制,如标识符、函数调用等。 2. 自动解包:根据静态分析的结果,编写自动化脚本或程序,对ASPack压缩的可执行文件进行解包。解包的过程可能包括找到压缩代码的入口点、定位密钥等。 3. 调试修复:解压后的文件可能由于压缩导致一些问题,例如跳转地址错误,数据部分错误等。通过调试可执行文件,修复这些问题,使得解压后的文件能够正确地执行。 4. 重构源代码:通过静态分析和调试修复,获取到解压后的可执行文件。如果需要对其进行二次开发或其他操作,可以将其转化为源代码形式,以方便进一步的操作。 尽管实现ASPack全自动脱壳需要一定的技术和经验,但是通过静态分析和自动化脚本,可以有效地减少手动操作的工作量,提高脱壳的效率和准确性。这对于安全研究人员和开发人员来说,是一个非常有用的工具

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值