-
-
照猫画虎也不易~〔ASPack 2.001的脱壳问题〕
-
发表于: 2005-6-10 17:24
-
一程序,用PEiD查是ASPack 2.001 -> Alexey Solodovnikov的壳。
用AspackDie 1.41汉化版脱壳,显示脱壳成功了,程序却不能运行……
咱不灰心,祭出宝典《看雪学院五周年纪念收藏版》,在论坛精华五里面找到了一篇《使用OllyDbg快速脱壳》
按照里面的办法,找到了POPAD这个位置,但是代码却是这样的:
006014F3 61 popad
006014F4 75 08 jnz short aaa.006014FE
006014F6 B8 01000000 mov eax,1
006014FB C2 0C00 retn 0C
006014FE 68 00000000 push 0
00601503 C3 retn
按照教程,应该是壳已经完成解压工作,并且返回到原
程序的入口处。
宝典中的实例是这样的代码:
0040D3AF 61 POPAD ;解压完成,恢复寄存器
0040D3B0 75 08 JNZ SHORT NOTEPAD.0040D3BA
0040D3B2 B8 01000000 MOV EAX, 1
0040D3B7 C2 0C00 RETN 0C
0040D3BA 68 CC104000 PUSH NOTEPAD.004010CC ;返回到原程序OEP处
0040D3BF C3 RETN
难道我调试的那个程序的OEP是000000??
或者不是标准的ASPack 2.001 -> Alexey Solodovnikov??里面还有陷阱??
还请大侠指教啊……
用AspackDie 1.41汉化版脱壳,显示脱壳成功了,程序却不能运行……
咱不灰心,祭出宝典《看雪学院五周年纪念收藏版》,在论坛精华五里面找到了一篇《使用OllyDbg快速脱壳》
按照里面的办法,找到了POPAD这个位置,但是代码却是这样的:
006014F3 61 popad
006014F4 75 08 jnz short aaa.006014FE
006014F6 B8 01000000 mov eax,1
006014FB C2 0C00 retn 0C
006014FE 68 00000000 push 0
00601503 C3 retn
按照教程,应该是壳已经完成解压工作,并且返回到原
程序的入口处。
宝典中的实例是这样的代码:
0040D3AF 61 POPAD ;解压完成,恢复寄存器
0040D3B0 75 08 JNZ SHORT NOTEPAD.0040D3BA
0040D3B2 B8 01000000 MOV EAX, 1
0040D3B7 C2 0C00 RETN 0C
0040D3BA 68 CC104000 PUSH NOTEPAD.004010CC ;返回到原程序OEP处
0040D3BF C3 RETN
难道我调试的那个程序的OEP是000000??
或者不是标准的ASPack 2.001 -> Alexey Solodovnikov??里面还有陷阱??
还请大侠指教啊……
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
就是等程序暂停在
00601503 C3 retn 这里的时候才脱壳啊??
|
|
|
|
|
|
在这个地址也可以Dump,只是Dump出来后需要修正OEP地址。当然还有别忘了修复输入表。
|
