-
-
[原创]手脱ASPack 2.12 -> Alexey Solodovnikov [Overlay]
-
发表于: 2014-11-6 18:10
-
1.拿到这个样本第一时间看了下是ASPack2.12,去网上查了下是压缩壳。(觉得自己应该能搞定
)
2.OD加载,下断VirtualProtectEx楼主自信慢慢的运行,结果失算了。(好了这里说一下我为什么下这个断,因为我觉得他会把代码新写回.text,一般来说.text的内存属性为只读,我认为他会修改这个,结果未如我愿
)
3.第二次重来,把目标放在内存上,在代码段下断点,果然有访问有希望
4.一路往下F7发现调用VirtualFree楼主瞬间有种想哭的冲动,居然把这个忘掉了
5.接下来就很平坦了,修复导入表,然后一个跳转就回到了我们的OEP了
(附件我就不传了,毕竟脱了以后信息太多)
谢谢观看
)2.OD加载,下断VirtualProtectEx楼主自信慢慢的运行,结果失算了。(好了这里说一下我为什么下这个断,因为我觉得他会把代码新写回.text,一般来说.text的内存属性为只读,我认为他会修改这个,结果未如我愿
)3.第二次重来,把目标放在内存上,在代码段下断点,果然有访问
有希望4.一路往下F7发现调用VirtualFree
楼主瞬间有种想哭的冲动,居然把这个忘掉了5.接下来就很平坦了,修复导入表,然后一个跳转就回到了我们的OEP了
(附件我就不传了,毕竟脱了以后信息太多)
谢谢观看
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
一会试试看
|
|
|
这边是结尾,可以看出原OEP偏移是直接赋值所以没法用esp定律
0050539A B8 600F0400 mov eax,0x40F60 ; 原OEP偏移 0050539F 50 push eax 005053A0 0385 22040000 add eax,dword ptr ss:[ebp+0x422] ;dword ptr ss:[ebp+0x422] 模块基址 005053A6 59 pop ecx 005053A7 0BC9 or ecx,ecx 005053A9 8985 A8030000 mov dword ptr ss:[ebp+0x3A8],eax 005053AF 61 popad 005053B0 75 08 jnz XYPCMH.005053BA 005053B2 B8 01000000 mov eax,0x1 005053B7 C2 0C00 retn 0xC 005053BA 68 600F4400 push YPCMH.00440F60 ; OEP地址 005053BF C3 retn |
|
|
|
|
|
我最近遇到了一个跟这个一样的壳ASPack 2.12 -> Alexey Solodovnikov [Overlay] 用ESP定律等等的办法都脱不掉,能不能把过程发上来让大家学习一下
|
