手脱 ASPack 2.12 -> Alexey Solodovnikov

最新推荐文章于 2020-02-06 22:20:29 发布
最新推荐文章于 2020-02-06 22:20:29 发布
阅读量862 收藏
点赞数
分类专栏: 脱壳 文章标签: c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yihai313/article/details/4086000
版权

   今天在学习脱壳, 下载了几个软件都脱壳不成功,没办法重新学过。

看了手脱教程,决定整个软件下来练习一下

就拿系统自带的“记事本”来练习一下吧, 用ASPack加下壳, 用PEid 查询, 显示为ASPack 2.12 -> Alexey Solodovnikov

好了, 不废话了, 第一篇. 脱壳, 高手见笑了...

 

/********************************

脱壳目标: notepad.exe 记事本

加壳类型: ASPack 2.12 - Alexey Solodovnikov

/********************************

  

1. 使用Peid 查壳, 显示为 ASPack 2.12 -> Alexey Solodovnikov

 

2. OD载入, 停在

01013001 note>  60                  pushad

01013002        E8 03000000         call notepad.0101300A //查看ESP值

01013007      - E9 EB045D45         jmp 465E34F7

0101300C        55                  push ebp 

3. 按F8步进到 01013002,  查看寄存器中的ESP值, 值为0007ffa4

(这算不算是使用ESP定律呢? 不太清楚, 有空再复习下.)

 

4. 将0007ffa4 设置为访问中断, 如在命令中输入 hr 7ffa4, 在调试->硬件断点可以查看到

(也可以 dd 7ff4, 断点 -> 硬件访问断点 -> Word 字) 

5. F9 运行, 运行到这里被中断

010133B0       /75 08               jnz short notepad.010133BA //断在这里了

010133B2       |B8 01000000         mov eax,1

010133B7       |C2 0C00             retn 0C

010133BA       /68 A5730001         push notepad.010073A5

010133BF        C3                  retn 

6. 清除硬件断点. F8步过. 直到retn 过后, 就是入口点了(push 70)

010073A5        6A 70               push 70 //入口点

010073A7        68 B0180001         push notepad.010018B0

010073AC        E8 E3010000         call notepad.01007594

 

查出, 入口点为73A5

 

7. LoadPe 脱壳

 

8. Import Re 修复输入表(在OEP 输入刚找到的入口点73A5->自动搜索IAT->获取输入表->显示无效函数-> 全部有效 ->修复转存文件)

9. 看看脱壳成功了没有, 查壳显示为Microsoft Visual C++ 7.0 Method2 [调试] 

10. 运行正常, 脱壳成功!

yihai313
关注
专栏目录
ASPack 2.12 -> Alexey Solodovnikov
创造神话,实现梦想!
08-13 4350
 目标:练手+文件名:ImportREC_fix.exe壳名:ASPack 2.12 -> Alexey SolodovnikovPEID查: 结果:ASPack 2.12 -> Alexey Solodovnikov一,od载入00481001 >  60              PUSHAD                                      //F8单步0048100
手动脱ASPack 2.12 -> Alexey Solodovnikov
qingye
11-08 3615
photodownloader这软件是批量下载图片的。只脱壳。 00568001 >  60        pushad                              ; od载入在这00568002    E8 030000>call photodow.0056800A              ; F8到这,在命令行中输入hr 12ffa400568007  - E9 EB
Aspack stripper 自动脱壳 ASPack 2.12 - Alexey Solodovnikov.rar
10-08
Aspack stripper 自动脱壳 ASPack 2.12 - Alexey Solodovnikov.rar
ASPack 2.12 Alexey Solodovnikov
12-08
ASPack 2.12 Alexey Solodovnikov自动脱壳工具
不错的1 ASPack 2.12(Alexey Solodovnikov )脱壳
11-02 8716
首先来看这个程序:下载地址:notepad.exe我们用PEiD打开看看到壳子是ASPack 2.12 -> Alexey Solodovnikov的这个也是很基础的了用Ollydbg打开程序,忽略全部异常01010001    60              PUSHAD01010002    E8 03000000     CALL notepad.0101000A              
aspack 2.12 -> alexey solodovnikov
最新发布
06-23
ASPack 2.12是由俄罗斯程序员Alexey Solodovnikov开发的一款压缩软件。该软件能够将常见的可执行程序、DLL库和驱动程序进行压缩,以减小文件大小。ASPack 2.12的压缩率非常高,同时不影响程序的运行速度和稳定性,...
ASPACK V2.12 脱壳工具
03-02
ASPACK V2.12 脱壳工具,轻松的脱下壳
ASPack_2.12脱壳机
04-24
ASPack_2.12脱壳机
脱壳-ASPack 2.12
谢绝(无视)留言与私信
02-13 2706
前言ASPack 2.12OEP可以用查找命令的方法找到, 只有一处结果. IAT用ImpREC直接可以修复.记录查壳ASPack(2.12-2.XX)[-] // by DIE ASPack 2.12 -> Alexey Solodovnikov // by PEID找OEP 只有一处 006A13BF006A13BA 68 24515E00 push 005
ASPack(所有版本脱壳机)t汉化版
06-28
ASPack(所有版本脱壳机)t汉化版!!!!!!!!!!!!!!
手动脱ASPack 2.12
Zimmerk的杂物堆
02-02 851
【文章标题】:手动脱ASPack 2.12【文章作者】:OH.C【作者 Q Q】:569742950【作者主页】:http://blog.csdn.net/bllqbz  |  http://569742950.qzone.qq.com【使用工具】:OllyDBG | DiE【操作平台】:Microsoft Windows XP Professional + Service Pack 3【作者声明
手脱 ASProtect 1.22 - 1.23 Beta 21 -> Alexey Solodovnikov
xum2008的专栏
11-12 1275
 手脱 ASProtect 1.22 - 1.23 Beta 21 -> Alexey Solodovnikov 并修复的过程; OD忽略出内存和添加的访问的所有异常; 还是运用最后一次异常的方法,达到程序OEP 达到脱壳的目的; 当达到后,打开内存镜像,在CODE 段下断点,运行。。达到OEP。。 脱壳,修复。。。不能运行。。。 为什么??因为程序中还有还有问
ASPack 2.12
AlexSmoker的博客
02-06 970
查壳,是ASPack2.12 首先看到pushad第一反应是esp定律。 在esp处设置硬件执行断点,然后F9执行到下图位置 继续向下走,发现有个间隔很大的返回地址多半就是OEP 执行到OEP进行脱壳 设置OEP的RVA为0x1000 转储IAT,对文件IAT进行修复。 剪切掉无效指针 转储到Dump文件中执行,查看执行效果,发现可以正常运行。 ...
脱壳脚本_手脱ASProtect 2.1x SKE -> Alexey Solodovnikov
aa110212312的博客
07-07 639
脱壳ASProtect 2.1x SKE -> Alexey Solodovnikov用脚本。截图1:查壳2:od载入3:用脚本然后打开脚本文件Aspr2.XX_unpacker_v1.osc,运行,很快的,不管。http://download.csdn.net/detail/kfyzk/14614004:提示点确定5:打开运行记录6:找到最下面7:修复刚脱壳的文件8:对脱壳后的...
ASPack 2.x (without poly) -> Alexey Solodovnikov [Overlay]脱壳
weixin_33923762的博客
04-18 256
下载地址:http://files.cnblogs.com/tk091/crackme6.7z 先用peid检测,为ASPack 2.x (without poly) -> Alexey Solodovnikov [Overlay]壳。 用od载入 1 00405000 60 pushad 2 00405001 > E8 03000000 ...
不脱壳破解 ASProtect 2.0x Registered -> Alexey Solodovnikov 加壳程序
xum2008的专栏
11-12 1758
 不脱壳破解 ASProtect 2.0x Registered -> Alexey Solodovnikov 加壳程序 e2h-dist.exe。。 首先用 OD 载入程序。忽略出 int3 外的所有异常。。 运行它。。出现注册对话窗口。。 填入假码和注册信息。。。确定,,出现一个对话框 “invalidus code” 记住它。。暂停后,分析一下代码,搜索-》所有文
aspack的简单脱壳,望大牛勿喷。
weixin_33762130的博客
07-25 562
压缩壳下面是我的脱壳,win7x64下测试。1.单步跟踪2.ESP定律3.一步到达oep4.内存镜像法5.脱壳软件6.脚本脱壳7.模拟跟踪法,查看内存。SFX,imports,relocationstceip<地址,另外说下,这个跟踪好慢。。8.Sfx法以上方法第一种脱壳后还是来个脱壳机试试吧。话说区段一点也不一样。名字都乱了啊,文件也打不开。怀疑脱壳机有问题。AsP...
脱壳工具大汇总
05-31 3324
脱壳工具 文件类型侦测工具 peid 0.94 现在软件越来越多的加壳了,给破解带来非常大的不便,用这个软件可以检测出常见的各种壳,非常方便。更新签名库及部分插件。2008/1/1 DIE 0.64 另一款文件工具   http://hellspawn.nm.ru FileInfo v3.01r
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值