手动脱ASPack壳

最新推荐文章于 2025-01-17 01:10:10 发布

最新推荐文章于 2025-01-17 01:10:10 发布 · 248 阅读

手动脱ASPack壳

write by 九天雁翎(JTianLing) -- blog.youkuaiyun.com/vagrxie

讨论新闻组及文件

个人手动脱壳定义，不是完全不用工具，仅仅是指不用脱壳机，并且手动寻找OEP，恢复IAT的时候使用ImportREC，但是手动找到IAT的位置，不用自动搜寻功能，其实找到了位置后，ImportREC还是做了新添加一个段，拷贝2进制数据，修改PE头中的IAT偏移地址这种工作，因为重复性太高，不手动进行了。

这些自然不是最佳，最快脱壳的方式，仅仅是学习。。。。。

需要用到的工具有OllyDbg（用于调试），LordPE（用于Dump，LordPE的Dump似乎比OllyDbg的Dump插件更稳定，因为好像OlldyDbg的Dump插件还尝试做了一些其他工作），ImportREC(恢复IAT)

压缩壳总是容易脱的，作为脱壳练手，再来一个著名的壳，ASPack

我用的版本是212,测试对象是用其将windows的计算器程序打包。

获取OEP

ASPack获取OEP就没有UPX那么简单了，当然，其实也还是不难，毕竟是压缩壳嘛。而且我尝试过压缩简单的程序（比如以前用汇编写的那个HelloWorld,几乎不会改变代码段，仅仅加密了IAT），因为calc.exe还算是一个正规的程序，所以体积不算很小，然后可以达到50%以上的压缩率，代码段自然也破坏了。

我首先用的是一种很笨的办法，直接通过段之间的跳转来定位，但是因为ASPack相当的狡猾。。。。它不是一个一个段的解压而是交替进行解压，导致的结果就是我没有办法通过在一段内存上面设一次断点，也没有办法通过先在数据段设断，然后再在代码段设断的方式获取OEP，最后只能用蛮办法，用OllyDbg的RUN跟踪，设置跟踪中断条件为EIP执行到代码段，然后跟踪步进。。。。。。即便这样，中途ASPack竟然还特意到代码段Ret了2次，呵呵，无耻啊。当然，最后通过这种办法，耗时超久，才找到了OEP.OllyDbg跟踪的指令条数在500W以上。。

01012475 . 6A 70 PUSH 70

01012477 . 68 E0150001 PUSH 复件_cal.010015E0

0101247C . E8 47030000 CALL 复件_cal.010127C8

01012481 . 33DB XOR EBX, EBX

01012483 . 53 PUSH EBX ; /pModule => NULL

01012484 . 8B3D 20100001 MOV EDI, DWORD PTR [1001020] ; |kernel32.GetModuleHandleA

0101248A . FFD7 CALL NEAR EDI ; /GetModuleHandleA

第一句就是入口

然后再通过堆栈平衡的方法来找OEP，结果不需要一秒钟就能找到，简直崩溃。

方法是在外壳通过PUSHAD保护现场后（很多外壳第一句都这样）

查看堆栈

0006FFA4 7C930208 ntdll.7C930208

0006FFA8 FFFFFFFF

0006FFAC 0006FFF0

0006FFB0 0006FFC4 -- 原有ESP

0006FFB4 7FFDB000

0006FFB8 7C92E4F4 ntdll.KiFastSystemCallRet

0006FFBC 0006FFB0

0006FFC0 00000000

然后根据堆栈平衡条件，在6FFA4下访问中断（一般的情况是在这里调用了POPAD了），或者在在6FFC4（原来的ESP）-4=6FFC0处（其实也可以通过PUSHAD压入8个寄存器算到，6FFA4+(8-1)*4=6FFC0）下写中断（一般的情况是POPAD后，通过PUSH 地址，然后RET返回原有代码段），这样只要壳没有特意的隐藏OEP，一般一次下断就能获取OEP。