手脱Aspack的几种方法

最新推荐文章于 2023-05-25 15:02:17 发布
原创 最新推荐文章于 2023-05-25 15:02:17 发布 · 720 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#byte #c #工具

本文通过三种不同路径详细解析了使用OllyDbg(OD)进行Aspack加壳软件脱壳的具体步骤,包括利用硬件断点定位原始入口点(OEP)、跟踪CALL指令及强制跳过可疑跳转等技巧。

第一种:

1.OD载入后停留在这里:

代码如下:

0040B001 >  60              PUSHAD
0040B002    E8 03000000     CALL 工程1.0040B00A
0040B007  - E9 EB045D45     JMP 459DB4F7
0040B00C    55              PUSH EBP
0040B00D    C3              RETN

>>>>>>>>>>>>>>>>

 

2.按下F8后,esp高亮

ESP 0012FFA4

 

3.在数据窗口中跟随0012FFA4

数据如下:

0012FFA4  7C930228  ntdll.7C930228
0012FFA8  FFFFFFFF
0012FFAC  0012FFF0
0012FFB0  0012FFC4
0012FFB4  7FFDF000
0012FFB8  7C92E514  ntdll.KiFastSystemCallRet

 

4.在0012FFA4下一个word类型的硬件断点

断在以下代码处:

0040B3B0   /75 08           JNZ SHORT 工程1.0040B3BA
0040B3B2   |B8 01000000     MOV EAX,1
0040B3B7   |C2 0C00         RETN 0C
0040B3BA   /68 C4134000     PUSH 工程1.004013C4
0040B3BF    C3              RETN

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

 

5.在0040B3BA处将004013C4压栈后紧接retn,这里是很大一个跳转,故由此可知004013C4为程序入口点

 

6.按F8一直到004013C4处停下,代码如下:

004013C4    68 581F4000     PUSH 工程1.00401F58
004013C9    E8 F0FFFFFF     CALL 工程1.004013BE                        ; JMP 到 msvbvm60.ThunRTMain
004013CE    0000            ADD BYTE PTR DS:[EAX],AL
004013D0    0000            ADD BYTE PTR DS:[EAX],AL

 

在此处用OD插件脱壳并修复即可

 

第二种:

1.OD载入,入口如下:

0040B001 >  60              PUSHAD
0040B002    E8 03000000     CALL 工程1.0040B00A
0040B007  - E9 EB045D45     JMP 459DB4F7
0040B00C    55              PUSH EBP

>>>>>>>>>>>>>>>>>>>>>>>>>>>>

 

2.在0040B002处按下F7进入CALL,代码如下:

0040B00A    5D              POP EBP                                  ; 工程1.0040B007
0040B00B    45              INC EBP
0040B00C    55              PUSH EBP
0040B00D    C3              RETN
0040B00E    E8 01000000     CALL 工程1.0040B014

>>>>>>>>>>>>>>>>>>>>>>>>>>>>

 

3.一直F8向下并在0040B00E处按下F7跟进

 

0040B014    5D              POP EBP                                  ; 工程1.0040B013
0040B015    BB EDFFFFFF     MOV EBX,-13
0040B01A    03DD            ADD EBX,EBP
0040B01C    81EB 00B00000   SUB EBX,0B000
0040B022    83BD 22040000 0>CMP DWORD PTR SS:[EBP+422],0

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

 

4.一直F8向下,遇到向上的跳转则F4强行往下

0040B13E    43              INC EBX
0040B13F    49              DEC ECX
0040B140  ^ EB EB           JMP SHORT 工程1.0040B12D  //此处强行向下

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

0040B144   /EB 00           JMP SHORT 工程1.0040B146
0040B146   /803E 02         CMP BYTE PTR DS:[ESI],2
0040B149  ^ 75 F3           JNZ SHORT 工程1.0040B13E  //此处强行向下
0040B14B    24 00           AND AL,0

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

0040B154    83C3 05         ADD EBX,5
0040B157    83C6 04         ADD ESI,4
0040B15A    83E9 05         SUB ECX,5
0040B15D  ^ EB CE           JMP SHORT 工程1.0040B12D  //此处强行向下

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

0040B197    FF95 51050000   CALL DWORD PTR SS:[EBP+551]
0040B19D    83C6 08         ADD ESI,8
0040B1A0    833E 00         CMP DWORD PTR DS:[ESI],0
0040B1A3  ^ 0F85 1EFFFFFF   JNZ 工程1.0040B0C7  //此处强行向下

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

0040B376    8907            MOV DWORD PTR DS:[EDI],EAX
0040B378    8385 49050000 0>ADD DWORD PTR SS:[EBP+549],4
0040B37F  ^ E9 32FFFFFF     JMP 工程1.0040B2B6  //此处强行向下
0040B384    8906            MOV DWORD PTR DS:[ESI],EAX

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

0040B389    8946 10         MOV DWORD PTR DS:[ESI+10],EAX
0040B38C    83C6 14         ADD ESI,14
0040B38F    8B95 22040000   MOV EDX,DWORD PTR SS:[EBP+422]
0040B395  ^ E9 EBFEFFFF     JMP 工程1.0040B285  //此处强行向下

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
0040B3AF    61              POPAD
0040B3B0    75 08           JNZ SHORT 工程1.0040B3BA
0040B3B2    B8 01000000     MOV EAX,1
0040B3B7    C2 0C00         RETN 0C
0040B3BA    68 C4134000     PUSH 工程1.004013C4
0040B3BF    C3              RETN  //在此处F8跟进之后可直接到达程序OEP

 

5.OEP代码如下:

004013C4    68 581F4000     PUSH 工程1.00401F58
004013C9    E8 F0FFFFFF     CALL 工程1.004013BE                        ; JMP 到 msvbvm60.ThunRTMain
004013CE    0000            ADD BYTE PTR DS:[EAX],AL
004013D0    0000            ADD BYTE PTR DS:[EAX],AL
004013D2    0000            ADD BYTE PTR DS:[EAX],AL

 

 

第三种:

1.OD载入,代码如下:

0040B001 >  60              PUSHAD
0040B002    E8 03000000     CALL 工程1.0040B00A
0040B007  - E9 EB045D45     JMP 459DB4F7
0040B00C    55              PUSH EBP

>>>>>>>>>>>>>>>>>>>>>>>>>>>>

2.按下ALT+M打开内存窗口,找到程序的代码段,如图:


 

3.在.rsrc区段处F2下一个断点,按下Shift+F9运行,中断在如下代码处

0040B75F    8A18            MOV BL,BYTE PTR DS:[EAX]
0040B761    40              INC EAX
0040B762    885C24 0C       MOV BYTE PTR SS:[ESP+C],BL
0040B766    8902            MOV DWORD PTR DS:[EDX],EAX
0040B768    8B42 08         MOV EAX,DWORD PTR DS:[EDX+8]

 

4.再按下ALT+M打开内存窗口,在.text区段处,即00401000处按F2下一个断点,F9运行

0040B285    8B46 0C         MOV EAX,DWORD PTR DS:[ESI+C]
0040B288    85C0            TEST EAX,EAX
0040B28A    0F84 0A010000   JE 工程1.0040B39A
0040B290    03C2            ADD EAX,EDX

 

5.一直F8往下,遇到向上的跳转就强行向下运行,代码如下:

0040B376    8907            MOV DWORD PTR DS:[EDI],EAX
0040B378    8385 49050000 0>ADD DWORD PTR SS:[EBP+549],4
0040B37F  ^ E9 32FFFFFF     JMP 工程1.0040B2B6                  //强行向下
0040B384    8906            MOV DWORD PTR DS:[ESI],EAX

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

0040B38C    83C6 14         ADD ESI,14
0040B38F    8B95 22040000   MOV EDX,DWORD PTR SS:[EBP+422]
0040B395  ^ E9 EBFEFFFF     JMP 工程1.0040B285

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

0040B3B7    C2 0C00         RETN 0C
0040B3BA    68 C4134000     PUSH 工程1.004013C4
0040B3BF    C3              RETN       //在这里按下F8可到达程序OEP

 

 

本次脱壳实例文件下载地址:http://u.115.com/file/f46143190b

Aspack加壳工具下载地址:http://u.115.com/file/f45d75eddc

简单脱壳教程笔记(4)---ASPACK
oBuYiSeng的博客
03-18 6738
本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。        ximo早期发的脱壳基础视频教程 下载地址如下:            http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E8%A7%86%E9%A2%91%E6%95%99%E7%A8%8B/ximo%e8%84%b1%e5%a3%b3%e5
脱壳aspack压缩壳
Nattevak
12-29 2368
  一般再执行Shell部分代码时,会先保存上下文环境,使用push指令(pushad/pushfd),执行Shell部分代码之后,再使用pop指令(popad/popfd)恢复环境,使堆栈平衡,故使用ESP定律进行简单脱壳。 1.使用OD加载程序,发现pushad指令,判断程序已加壳。 2.按下F8单步步过,使得程序走到CALL的位置,然后对ESP下断点,再将程序运行起来 3.程序断下来的地方即为pop的地方 4.F8单步步过,找到原始OEP 5.在原始OEP处,右键菜单,选择用OllyDu
ASpack
寻梦&之璐
01-29 1195
声明 首先记住刚开始的时候ESP的值 单步调试 还是那句话,遇到向下的跳转让它实现,向上的直接F4就行 ESP的值是0x0133FBE4 第一个call(步入) 第二个call(步入) 第三个call(步过)(GetModuleHandleA) 第四个call(步过)(GetProcAddress) 第五个call(步过)(VirtualAlloc) 第五个call(步过)(VirtualAlloc) 第六个call(步过)(未知) 第七个call(步过)(VirtualFree) 第八个
脱壳AsPack压缩脱壳-随机基址
baochi8399的博客
07-18 1304
一、工具及壳介绍二、脱壳1、ESP定律脱壳2、单步跟踪脱壳3、基址重定位的修复 一、工具及壳介绍 使用工具:Ollydbg、PEID、ImportREC、LoadPE、010 Editor 查看待脱壳程序 查看AsPack壳特有的区段信息 小结:根据链接器版本推断待脱壳程序应该是VS 2013编...
工具 ASPack
追太阳的人!
08-22 592
对于想学破解的人来说,脱壳是必不可免的,现在分享下我ASPack的壳的教程,下面是下载的链接地址,教程在网盘里面,教程做的有点大,不好上传,有什么建议或者好的见解希望多多告知,脱壳破解的教程,会不断更新的 网盘地址:http://pan.baidu.com/share/link?shareid=6871&uk=571157174
万能脱壳机 能够ASPack FsG UPX壳
05-23
以下是关于"万能脱壳机"及其支持的几种壳类型——ASPack、FsG和UPX的详细知识讲解。 首先,ASPack是一种著名的文件压缩和加密工具,常用于减少可执行文件的大小,提高其加载速度。然而,由于其强大的混淆能力,...
【2022.1.3】压缩壳练习(含练习exe)
qq_35289660的博客
03-04 1250
记录练习脱壳(简单的压缩壳),都有对应练习exe。
Crack破解必学+脱壳
09-15
04、ASPack以及变形壳的几种方法 05、FSG1.33变形壳 06、PECompact 07、nspack(北斗)和PEncrypt 08、Yoda's Crypter以及SFX法 09、Telock 10、PETITE和FSG 2.0 11、ESP定律与内存断点...
2018/5/16 逆向脱壳的几个方法(单步跟踪,ESP定律,使用出口标志,SFX方法
startr4ck
05-16 1700
来自于西普实验吧在线实验单步跟踪法破解Aspack条件:一般是不是很复杂的程序方法:通过载入程序,当程序弹出点击事件框的时候就重新od载入,因为当点击事件框出现的时候意味着程序已经进入了oep当中。所以当不断进入call当中去寻找oep所在位置,中间遇到跳转使用f4进行标记汇编命令再运行就可以跳转。找到之后进行运行,删除分析,使用od的脱壳调试进行有两种方法分别都采用一次。得到两个文件都进行保存,...
aspack的简单脱壳,望大牛勿喷。
weixin_33762130的博客
07-25 758
压缩壳下面是我的脱壳,win7x64下测试。1.单步跟踪2.ESP定律3.一步到达oep4.内存镜像法5.脱壳软件6.脚本脱壳7.模拟跟踪法,查看内存。SFX,imports,relocationstceip<地址,另外说下,这个跟踪好慢。。8.Sfx法以上方法第一种脱壳后还是来个脱壳机试试吧。话说区段一点也不一样。名字都乱了啊,文件也打不开。怀疑脱壳机有问题。AsP...
aspack脱壳工具
11-30
aspack脱壳工具 可对aspack进行脱壳
ASPack(所有版本脱壳机)t汉化版
06-28
ASPack(所有版本脱壳机)t汉化版!!!!!!!!!!!!!!
全能ASPack自动脱壳工具 绿色版.rar
03-03
全能ASPack自动脱壳工具 绿色版.rar
Un-ASPACK脱壳汉化版aspack 2.12 脱壳
06-25
Un-ASPACK脱壳汉化版aspack 2.12 脱壳一个脱壳软件
aspack变形壳
weixin_43916678的博客
09-07 296
首先放进查壳软件里,什么也没查出,但是在EP那里显示“皇后”,有点不正常,后来得知事aspack变形壳。 放进OD里一开始就是一个大跳转,f8往下走。 用单步追踪法,遇到近call就跟进,远call就步过,00418609是近call,我们f7跟进。 进去函数里面之后一步步往下走,在0041862E这里有个跳转,这是个循环,如果选择F4跳过循环,那么程序会直接跑飞。 并且多循环几次就会发现...
学习ximo脱壳视频:2、ASPACK
Jaychouzzk
04-22 463
所用工具:Ollydbg(吾爱版)   PEID v0.95运行环境:windows xp使用PEID v0.95进行查壳        此程序的壳为ASPack使用OD载入程序,ASPack壳查询OEP有6种方法,1.单步跟踪,2.ESP定律,3.一步直达,4.二次内存镜像,5.模拟跟踪,6.SFX现演示两次内存镜象法、模拟跟踪和SFX法来进行查询OEP一、两次内存镜像法首先使用OD 载入此程序...
aspack工具+动)脱壳
weixin_45574485的博客
08-27 9057
脱壳前准备: 工具:od,import reconstract,lordpe,peid 材料:一个有aspack壳的文件 步骤: 1.将带壳文件放到peid,查看是什么壳 2.确定文件壳以后,正式开始脱壳步骤。打开lordpe,将选项修改为打开pe,点击确定 3.将文件拖到lordpe,点击(特征值后面)三个点的地方,将重定位已分离勾上,记得一定要保存(这一步能去除随机基址,将进程基址固定在40...
Aspack脱壳
weixin_62586193的博客
03-27 2771
最近打了buu的DASCTF的比赛,但我是菜狗,就只做出了re的签到题(雾),还是学到了不少东西,就是Aspack脱壳,记录下。 首先是用peid查壳,可以看到是aspcak壳。(exeinfope也可以,就是启动没有那么快) 然后在lordPE里面选特征值旁边的三个点 设置重定位已分离,保存即可 然后用ollydbg进行动调找函数的入口: 会弹出一个窗口: 压缩代码? 模块“XXXX”的快速统计报告标明其代码段要么被压缩、加密,要么包含大量的嵌入数据,代码分析的结果可能非常不可靠或者完全错误
(1)aspack脱壳并crack
~
05-25 443
HzorInline的代码行OUT=4053A9,这里其实就是OEP。Patch the PE file完成打包。
脱壳ASPack V2.121教程
这个过程展示了如何结合使用OllyDbg和OllyDump插件,通过动步骤分析和ASPack V2.121的壳,从而获得原始的未加壳程序。这不仅锻炼了逆向工程师的技能,也为理解程序保护机制和提高安全分析能力提供了实践机会。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值