首页
社区
课程
招聘
ASPack 2.12 -> Alexey Solodovnikov [Overlay]脱壳
发表于: 2004-6-22 19:11 10016

ASPack 2.12 -> Alexey Solodovnikov [Overlay]脱壳

2004-6-22 19:11
10016
ASPack 2.12 -> Alexey Solodovnikov [Overlay]脱壳

【作者大名】shahuo

【作者邮箱】lovekelly2@163.com

【作者主页】http://www.chinadfcg.com

【使用工具】 Peid,olldbg,winhex

【操作系统】Windows XP

【软件名称】某某登陆器

【软件大小】2.5

【加壳方式】ASPack 2.12 -> Alexey Solodovnikov [Overlay]

【下载地址】http://www.1717mu.com/up22.exe
【软件简介】

某某登陆器 我下载后`金山毒霸`说有病毒`不知道为什么?

【破解声明】我是一只小菜鸟,偶得一点心得,愿与大家分享:)

--------------------------------------------------------------------------------

【内容】

首先用Peid查壳为ASPack 2.12 -> Alexey Solodovnikov [Overlay]
Od载入程序 对压缩壳没有必要浪费时间,Esp定律很快找到入口
0066A001 >  60              PUSHAD
0066A002    E8 03000000     CALL 1717mu.0066A00A  到这里看ESP=0012ffa4
0066A007  - E9 EB045D45     JMP 45C3A4F7
0066A00C    55              PUSH EBP
0066A00D    C3              RETN
0066A00E    E8 01000000     CALL 1717mu.0066A014
0066A013    EB 5D           JMP SHORT 1717mu.0066A072
0066A015    BB EDFFFFFF     MOV EBX,-13
0066A01A    03DD            ADD EBX,EBP
0066A01C    81EB 00A02600   SUB EBX,26A000
0066A022    83BD 22040000 0>CMP DWORD PTR SS:[EBP+422],0
0066A029    899D 22040000   MOV DWORD PTR SS:[EBP+422],EBX
0066A02F    0F85 65030000   JNZ 1717mu.0066A39A
0066A035    8D85 2E040000   LEA EAX,DWORD PTR SS:[EBP+42E]
0066A03B    50              PUSH EAX
0066A03C    FF95 4D0F0000   CALL DWORD PTR SS:[EBP+F4D]
0066A042    8985 26040000   MOV DWORD PTR SS:[EBP+426],EAX

。。。。。。。。。。。。。。。。。。。。。。
于是直接命令行
DD 0012FFA4
在0012FFA4那里下硬件断点  F9运行
0066A3AF    61              POPAD
0066A3B0    75 08           JNZ SHORT 1717mu.0066A3BA 到这里`往上看`看到POPAD` 这里跳
0066A3B2    B8 01000000     MOV EAX,1
0066A3B7    C2 0C00         RETN 0C
0066A3BA    68 31384000     PUSH 1717mu.00403831 到这里
0066A3BF    C3              RETN   返回
0066A3C0    8B85 26040000   MOV EAX,DWORD PTR SS:[EBP+426]
0066A3C6    8D8D 3B040000   LEA ECX,DWORD PTR SS:[EBP+43B]
。。。。。。。。。。。。。。。。
返回到
00403831    55              PUSH EBP       这里用OD直接脱壳。
00403832    8BEC            MOV EBP,ESP
00403834    6A FF           PUSH -1
00403836    68 F0624000     PUSH 1717mu.004062F0
0040383B    68 A44C4000     PUSH 1717mu.00404CA4
00403840    64:A1 00000000  MOV EAX,DWORD PTR FS:[0]
00403846    50              PUSH EAX
00403847    64:8925 0000000>MOV DWORD PTR FS:[0],ESP
0040384E    83EC 58         SUB ESP,58
00403851    53              PUSH EBX
00403852    56              PUSH ESI
00403853    57              PUSH EDI
00403854    8965 E8         MOV DWORD PTR SS:[EBP-18],ESP
。。。。。。。。
脱壳后运行 发现文件数据错误 用Import REConstruct修复输入表也是一样。
后来看了2哥的(Upx变形壳脱壳+去除暗桩)才知道Overlay是指文件尾部有附加数据
于是打开WinHex运行没脱壳的程序。找附加数据
打开后点把那些数据拉到最后
然后点 搜索 -查找16进制。填上8个0 搜索那里选向上 。点确定
到了01593342 这里和到下面的全复制。发现有好多数据要复制啊`晕`这里我们用快点的方法
点上面的 编缉  定义选快  开始那里填01593342 结尾那里填 2646057就是数据最后的哪个地址
点确定  跟着复制
WinHex打开脱壳文件
把这些数据复制到脱壳文件的最后
跟着保存
脱壳的文件就可以运行了:)

--------------------------------------------------------------------------------

【版权声明】本文纯属技术交流, 转载请注明作者并保持文章的完整, 谢谢!

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 3
支持
分享
最新回复 (15)
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
2
好!
不过如此处理overlays不太可靠
正确的做法应该是(也许也不正确:D ):
k=文件大小-SizeOfImage
从原程序尾复制k字节到新程序
2004-6-22 19:25
0
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
我是菜鸟来得`很苯`这方法也是2哥教得:)
2004-6-22 19:28
0
雪    币: 236
活跃值: (70)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
4
forgot说的可能不对。我的有个软件,sizeofimage==AC000,而文件大小只有443399
2004-6-22 23:45
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
5
最初由 xeno 发布
forgot说的可能不对。我的有个软件,sizeofimage==AC000,而文件大小只有443399

那就没有overlays了:D
2004-6-22 23:53
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
6
最初由 forgot 发布

那就没有overlays了:D


forgot想搞E书的overlays,我可以给你推荐一个好目标  ;)
2004-6-23 00:55
0
雪    币: 5844
活跃值: (2677)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
fly给 forgot推荐一个软件,再写一篇教程,让我们学习学习:D
2004-6-23 09:23
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
8
最初由 fly 发布



forgot想搞E书的overlays,我可以给你推荐一个好目标 ;)

fly又来害人了:D
2004-6-23 09:49
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
9
最初由 lucktiger 发布
fly给 forgot推荐一个软件,再写一篇教程,让我们学习学习:D

随便抓个独立编译的易程序
2004-6-23 09:50
0
雪    币: 5844
活跃值: (2677)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
http://www.chinadfcg.com/attachment.php?aid=3360
forgot写一篇详细的教程吧
2004-6-23 11:27
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
11
can't downlaod:(
2004-6-23 11:37
0
雪    币: 5844
活跃值: (2677)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
2004-6-23 11:41
0
雪    币: 223
活跃值: (106)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
13
等待文章ing!:D
2004-6-23 11:50
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
14
忙着逆向...仔细看看这段代码就明白了
        invoke        GetFileSize, hFile, 0
                sub        esi,28h
                sub        eax,dword ptr [esi+14h]
                sub        eax,dword ptr [esi+10h]
                .if        eax != 0
                        cdq
                        .if        edx == 0
                                mov        edi,eax
                                invoke        VirtualAlloc, NULL, edi, MEM_COMMIT, PAGE_READWRITE
                                mov        MapOfSData,eax
                                invoke        ReadFile, hFile, MapOfSData, edi, ADDR NumberOfBytesRW, NULL
                                mov        eax,NumberOfBytesRW
                                mov        MapOfSDataUsed,eax
                        .endif
                .endif
2004-6-23 12:42
0
雪    币: 5844
活跃值: (2677)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
看不太懂啊
2004-6-23 14:04
0
雪    币: 236
活跃值: (70)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
16
我上面说的就是一本ebook的。PEID查出是ASPack 2.12 -> Alexey Solodovnikov [Overlay]各位有兴趣可以试试
2004-6-23 21:12
0
游客
登录 | 注册 方可回帖
返回
//