Aspack壳手动脱壳

最近打了buu的DASCTF的比赛，但我是菜狗，就只做出了re的签到题（雾），还是学到了不少东西，就是Aspack的手动脱壳，记录下。

首先是用peid查壳，可以看到是aspcak壳。（exeinfope也可以，就是启动没有那么快）

然后在lordPE里面选特征值旁边的三个点

设置重定位已分离，保存即可

然后用ollydbg进行动调找函数的入口：
会弹出一个窗口：

压缩代码？
模块“XXXX”的快速统计报告标明其代码段要么被压缩、加密，要么包含大量的嵌入数据，代码分析的结果可能非常不可靠或者完全错误。是否继续分析？

这里选否

然后程序就会停在一个push处

用F8单步进入一下，就会停在一个call处，查看此时旁边的ESP的地址是红的，右键其打个硬件断点：

然后F9运行到断点处。可以看到停在了一个jnz处

用F7单步到push处再F7两次，就跳转到另一个界面

F7步入到call处。此时按下回车可以看到四个安全函数，能确定函数入口就在后面

摁esc返回。
此时右键刚刚那个call的位置，从这里开始脱壳

有两处需要特别注意，一处就是取消勾选重建输入表，另一处是要记下修正为后面那传数字。

然后脱壳，起个随便的名字。

现在不要退出ollydbg

以管理员身份运行ImportREConstructor
不是管理员就有可能看不到要脱壳的程序运行

此处找到要脱壳的文件

还记得刚刚要记住的那串数字吗？
OEP处填入，点击iat自动搜索。
获取导入表，

然后修正转储到刚刚ollydbg脱壳出的那个文件。会生成一个文件名+‘_’的文件。
好了到此脱壳结束，可以正常使用ida，F5了。