-
-
[旧帖] [求助][求助]关于脱ASPACK壳的疑惑 0.00雪花
-
发表于: 2009-11-9 09:28
-
我是新手中的新手,最近看了些脱壳的教程,于是自己就动动手,没想到,第一壳就卡着了。我把我脱壳的过程打出来,望高手们可以指点一二,万分感谢!
1、用PEID侦查壳
2、确认是ASPACK2.12壳
3、用ollydbg打开,显示访问违规,按shiift F9后,调试程序出现。
00713001 > 60 PUSHAD 此入口
00713002 E8 03000000 CALL dnfmm1_3.0071300A 单步进入 按F7
跳至
0071300A 5D POP EBP ; dnfmm1_3.00713007
0071300B 45 INC EBP
0071300C 55 PUSH EBP
0071300D C3 RETN
0071300E E8 01000000 CALL dnfmm1_3.00713014
到此自动跳至如下
00713008 /EB 04 JMP SHORT dnfmm1_3.0071300E
0071300A |5D POP EBP
0071300B |45 INC EBP
0071300C |55 PUSH EBP
0071300D |C3 RETN
0071300E \E8 01000000 CALL dnfmm1_3.00713014 按F7
跳至如下
00713014 5D POP EBP ; dnfmm1_3.00713013
00713015 BB EDFFFFFF MOV EBX,-13
0071301A 03DD ADD EBX,EBP
0071301C 81EB 00303100 SUB EBX,313000
00713022 83BD 22040000 0>CMP DWORD PTR SS:[EBP+422],0
00713029 899D 22040000 MOV DWORD PTR SS:[EBP+422],EBX
0071302F 0F85 65030000 JNZ dnfmm1_3.0071339A 此处回车
跳至如下
0071339A B8 F6ED3000 MOV EAX,30EDF6 按F4
0071339F 50 PUSH EAX
007133A0 0385 22040000 ADD EAX,DWORD PTR SS:[EBP+422]
007133A6 59 POP ECX
007133A7 0BC9 OR ECX,ECX
007133A9 8985 A8030000 MOV DWORD PTR SS:[EBP+3A8],EAX
007133AF 61 POPAD 到了出口
007133B0 75 08 JNZ SHORT dnfmm1_3.007133BA
007133B2 B8 01000000 MOV EAX,1
007133B7 C2 0C00 RETN 0C
007133BA 68 00000000 PUSH 0
007133BF C3 RETN 跳至程序入口,后DUMP脱壳
4、用PEID测壳,结果后失望,如图:
我想可能是的我脱壳方式不对,在此请高手给予分析和帮助,万分感谢
程序大了点,上传不了,怎么办呢???!急。
好想多学点东西,请版主给个激活号吧
1、用PEID侦查壳
2、确认是ASPACK2.12壳
3、用ollydbg打开,显示访问违规,按shiift F9后,调试程序出现。
00713001 > 60 PUSHAD 此入口
00713002 E8 03000000 CALL dnfmm1_3.0071300A 单步进入 按F7
跳至
0071300A 5D POP EBP ; dnfmm1_3.00713007
0071300B 45 INC EBP
0071300C 55 PUSH EBP
0071300D C3 RETN
0071300E E8 01000000 CALL dnfmm1_3.00713014
到此自动跳至如下
00713008 /EB 04 JMP SHORT dnfmm1_3.0071300E
0071300A |5D POP EBP
0071300B |45 INC EBP
0071300C |55 PUSH EBP
0071300D |C3 RETN
0071300E \E8 01000000 CALL dnfmm1_3.00713014 按F7
跳至如下
00713014 5D POP EBP ; dnfmm1_3.00713013
00713015 BB EDFFFFFF MOV EBX,-13
0071301A 03DD ADD EBX,EBP
0071301C 81EB 00303100 SUB EBX,313000
00713022 83BD 22040000 0>CMP DWORD PTR SS:[EBP+422],0
00713029 899D 22040000 MOV DWORD PTR SS:[EBP+422],EBX
0071302F 0F85 65030000 JNZ dnfmm1_3.0071339A 此处回车
跳至如下
0071339A B8 F6ED3000 MOV EAX,30EDF6 按F4
0071339F 50 PUSH EAX
007133A0 0385 22040000 ADD EAX,DWORD PTR SS:[EBP+422]
007133A6 59 POP ECX
007133A7 0BC9 OR ECX,ECX
007133A9 8985 A8030000 MOV DWORD PTR SS:[EBP+3A8],EAX
007133AF 61 POPAD 到了出口
007133B0 75 08 JNZ SHORT dnfmm1_3.007133BA
007133B2 B8 01000000 MOV EAX,1
007133B7 C2 0C00 RETN 0C
007133BA 68 00000000 PUSH 0
007133BF C3 RETN 跳至程序入口,后DUMP脱壳
4、用PEID测壳,结果后失望,如图:
我想可能是的我脱壳方式不对,在此请高手给予分析和帮助,万分感谢
程序大了点,上传不了,怎么办呢???!急。
好想多学点东西,请版主给个激活号吧
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
