-
-
[分享]绿色单文件封装工具 ASPack 2.12 -> Alexey Solodovnikov [Overlay] 脱壳
-
发表于:
2011-8-3 00:40
9316
-
[分享]绿色单文件封装工具 ASPack 2.12 -> Alexey Solodovnikov [Overlay] 脱壳
标 题: 【分享】 ASPack 2.12 -> Alexey Solodovnikov [Overlay] 脱壳笔记
作 者: fairynull
时 间: 2011-08-03,00:17:40
软件名称:绿色单文件封装工具
壳名称: ASPack 2.12 -> Alexey Solodovnikov [Overlay]
下午的时候,看到一个帖子,是ASPack 2.12 -> Alexey Solodovnikov [Overlay]这个的,因为有个同仁问,当时试了下,半天搞不定。后来看到另一个同仁搞定了,发问了。过了一会儿,那个帖子,不知道哪儿去了。 现在正在学习脱壳,所以,很想学习学习。
OD载入,开始:
00401000 > $ 60 pushad
00401001 . E8 03000000 call swdq.00401009 //hr esp //12ffa4
00401006 E9 db E9
00401007 EB db EB
用ESP定律,下断,F9执行。
来到
00401022 .- E9 A2571100 jmp swdq.005167C9
单步执行,来到
005167C9 60 pushad //关键句,
005167CA E8 00000000 call swdq.005167CF
005167CF 83C4 04 add esp,4
005167D2 8B6C24 FC mov ebp,dword ptr ss:[esp-4]
005167D6 E8 80020000 call swdq.00516A5B
005167DB E8 69240000 call swdq.00518C49
005167E0 837C24 28 01 cmp dword ptr ss:[esp+28],1
看到关键句后,对应搜索 popad .
来到
00516A45 83BD 1F4C0000 0>cmp dword ptr ss:[ebp+4C1F],0
00516A4C 74 07 je short swdq.00516A55
00516A4E E9 0F100000 jmp swdq.00517A62
00516A53 EB 01 jmp short swdq.00516A56
00516A55 61 popad
00516A56 - E9 B5F8EFFF jmp swdq.00416310
看到 00516A56 - E9 B5F8EFFF jmp swdq.00416310 这句了吧,同其它壳跳到OEP的方式很像吧。
这个时候,我想下断00516A56 - E9 B5F8EFFF jmp swdq.00416310 ,F4执行到此,却不行,一直提示,×××内存,不能read,怎么办呢?
换一种方法。
在命令行输入 dd 00416310
然后,在数据的地方下硬件执行断点。 F9运行
第一次运行的时候,会显示Xor X X,
再F9运行的时候,就会跳到
00416310 . E8 A7C00000 call swddq.004223BC
00416315 .^ E9 79FEFFFF jmp swddq.00416193
跳到此时,就是Eop了,可用自带的DUMP工具,DUMP一下,用方式一,二都可以试一下,我用的方式二,就直接脱了,再用IRC修复一下,就可以了。运行的时候,提示不能打开脚本文件时,可以附加数据工具处理下。
附上未脱壳的,和处理比毕的程序,仅供练习用。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!