ASPack 2.12 -> Alexey Solodovnikov [Overlay]脱壳

【作者大名】shahuo

【作者邮箱】lovekelly2@163.com

【作者主页】http://www.chinadfcg.com

【使用工具】 Peid,olldbg,winhex

【操作系统】Windows XP

【软件名称】某某登陆器

【软件大小】2.5

【加壳方式】ASPack 2.12 -> Alexey Solodovnikov [Overlay]

【下载地址】http://www.1717mu.com/up22.exe
【软件简介】

某某登陆器 我下载后`金山毒霸`说有病毒`不知道为什么？

【破解声明】我是一只小菜鸟，偶得一点心得，愿与大家分享：）

--------------------------------------------------------------------------------

【内容】

首先用Peid查壳为ASPack 2.12 -> Alexey Solodovnikov [Overlay]
Od载入程序 对压缩壳没有必要浪费时间，Esp定律很快找到入口
0066A001 >  60              PUSHAD
0066A002    E8 03000000     CALL 1717mu.0066A00A  到这里看ESP=0012ffa4
0066A007  - E9 EB045D45     JMP 45C3A4F7
0066A00C    55              PUSH EBP
0066A00D    C3              RETN
0066A00E    E8 01000000     CALL 1717mu.0066A014
0066A013    EB 5D           JMP SHORT 1717mu.0066A072
0066A015    BB EDFFFFFF     MOV EBX,-13
0066A01A    03DD            ADD EBX,EBP
0066A01C    81EB 00A02600   SUB EBX,26A000
0066A022    83BD 22040000 0>CMP DWORD PTR SS:[EBP+422],0
0066A029    899D 22040000   MOV DWORD PTR SS:[EBP+422],EBX
0066A02F    0F85 65030000   JNZ 1717mu.0066A39A
0066A035    8D85 2E040000   LEA EAX,DWORD PTR SS:[EBP+42E]
0066A03B    50              PUSH EAX
0066A03C    FF95 4D0F0000   CALL DWORD PTR SS:[EBP+F4D]
0066A042    8985 26040000   MOV DWORD PTR SS:[EBP+426],EAX

。。。。。。。。。。。。。。。。。。。。。。
于是直接命令行
DD 0012FFA4
在0012FFA4那里下硬件断点  F9运行
0066A3AF    61              POPAD
0066A3B0    75 08           JNZ SHORT 1717mu.0066A3BA 到这里`往上看`看到POPAD` 这里跳
0066A3B2    B8 01000000     MOV EAX,1
0066A3B7    C2 0C00         RETN 0C
0066A3BA    68 31384000     PUSH 1717mu.00403831 到这里
0066A3BF    C3              RETN   返回
0066A3C0    8B85 26040000   MOV EAX,DWORD PTR SS:[EBP+426]
0066A3C6    8D8D 3B040000   LEA ECX,DWORD PTR SS:[EBP+43B]
。。。。。。。。。。。。。。。。
返回到
00403831    55              PUSH EBP       这里用OD直接脱壳。
00403832    8BEC            MOV EBP,ESP
00403834    6A FF           PUSH -1
00403836    68 F0624000     PUSH 1717mu.004062F0
0040383B    68 A44C4000     PUSH 1717mu.00404CA4
00403840    64:A1 00000000  MOV EAX,DWORD PTR FS:[0]
00403846    50              PUSH EAX
00403847    64:8925 0000000>MOV DWORD PTR FS:[0],ESP
0040384E    83EC 58         SUB ESP,58
00403851    53              PUSH EBX
00403852    56              PUSH ESI
00403853    57              PUSH EDI
00403854    8965 E8         MOV DWORD PTR SS:[EBP-18],ESP
。。。。。。。。
脱壳后运行 发现文件数据错误 用Import REConstruct修复输入表也是一样。
后来看了2哥的（Upx变形壳脱壳+去除暗桩）才知道Overlay是指文件尾部有附加数据
于是打开WinHex运行没脱壳的程序。找附加数据
打开后点把那些数据拉到最后
然后点 搜索 -查找16进制。填上8个0 搜索那里选向上 。点确定
到了01593342 这里和到下面的全复制。发现有好多数据要复制啊`晕`这里我们用快点的方法
点上面的 编缉  定义选快  开始那里填01593342 结尾那里填 2646057就是数据最后的哪个地址
点确定  跟着复制
WinHex打开脱壳文件
把这些数据复制到脱壳文件的最后
跟着保存
脱壳的文件就可以运行了：）

--------------------------------------------------------------------------------

【版权声明】本文纯属技术交流, 转载请注明作者并保持文章的完整, 谢谢!

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课