首页
社区
课程
招聘
[原创]手脱ASPack 2.12 -> Alexey Solodovnikov [Overlay]
发表于: 2014-11-6 18:10 8378

[原创]手脱ASPack 2.12 -> Alexey Solodovnikov [Overlay]

2014-11-6 18:10
8378
1.拿到这个样本第一时间看了下是ASPack2.12,去网上查了下是压缩壳。(觉得自己应该能搞定
2.OD加载,下断VirtualProtectEx楼主自信慢慢的运行,结果失算了。(好了这里说一下我为什么下这个断,因为我觉得他会把代码新写回.text,一般来说.text的内存属性为只读,我认为他会修改这个,结果未如我愿)
3.第二次重来,把目标放在内存上,在代码段下断点,果然有访问有希望
4.一路往下F7发现调用VirtualFree楼主瞬间有种想哭的冲动,居然把这个忘掉了
5.接下来就很平坦了,修复导入表,然后一个跳转就回到了我们的OEP了

(附件我就不传了,毕竟脱了以后信息太多)
谢谢观看

[注意]APP应用上架合规检测服务,协助应用顺利上架!

收藏
免费 0
支持
分享
最新回复 (7)
雪    币: 85
活跃值: (51)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
2
太硬了,这么easy?
2014-11-6 18:26
0
雪    币: 547
活跃值: (34)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
esp脱不更快点吗
2014-11-6 18:51
0
雪    币: 3402
活跃值: (1448)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
4
咱能不能说详细点0.0
2014-11-6 19:30
0
雪    币: 61
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
一会试试看
2014-11-7 09:05
0
雪    币: 61
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
这边是结尾,可以看出原OEP偏移是直接赋值所以没法用esp定律
0050539A            B8 600F0400     mov     eax,0x40F60                      ; 原OEP偏移
0050539F            50              push    eax
005053A0            0385 22040000   add     eax,dword ptr ss:[ebp+0x422]  ;dword ptr ss:[ebp+0x422] 模块基址
005053A6            59              pop     ecx
005053A7            0BC9            or      ecx,ecx                                    
005053A9            8985 A8030000   mov     dword ptr ss:[ebp+0x3A8],eax
005053AF            61              popad
005053B0            75 08           jnz     XYPCMH.005053BA
005053B2            B8 01000000     mov     eax,0x1
005053B7            C2 0C00         retn    0xC
005053BA            68 600F4400     push    YPCMH.00440F60                   ; OEP地址
005053BF            C3              retn
2014-11-7 09:18
0
雪    币: 61
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
可以把样本丢上来,一起研究下~
2014-11-7 09:23
0
雪    币: 84
活跃值: (143)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
我最近遇到了一个跟这个一样的壳ASPack 2.12 -> Alexey Solodovnikov [Overlay] 用ESP定律等等的办法都脱不掉,能不能把过程发上来让大家学习一下
2014-11-23 11:33
0
游客
登录 | 注册 方可回帖
返回
// // 统计代码