ASPack 2.12 -> Alexey Solodovnikov [Overlay]脱壳
【作者大名】shahuo
【作者邮箱】lovekelly2@163.com
【作者主页】
http://www.chinadfcg.com
【使用工具】 Peid,olldbg,winhex
【操作系统】Windows XP
【软件名称】某某登陆器
【软件大小】2.5
【加壳方式】ASPack 2.12 -> Alexey Solodovnikov [Overlay]
【下载地址】
http://www.1717mu.com/up22.exe
【软件简介】
某某登陆器 我下载后`金山毒霸`说有病毒`不知道为什么?
【破解声明】我是一只小菜鸟,偶得一点心得,愿与大家分享:)
--------------------------------------------------------------------------------
【内容】
首先用Peid查壳为ASPack 2.12 -> Alexey Solodovnikov [Overlay]
Od载入程序 对压缩壳没有必要浪费时间,Esp定律很快找到入口
0066A001 > 60 PUSHAD
0066A002 E8 03000000 CALL 1717mu.0066A00A 到这里看ESP=0012ffa4
0066A007 - E9 EB045D45 JMP 45C3A4F7
0066A00C 55 PUSH EBP
0066A00D C3 RETN
0066A00E E8 01000000 CALL 1717mu.0066A014
0066A013 EB 5D JMP SHORT 1717mu.0066A072
0066A015 BB EDFFFFFF MOV EBX,-13
0066A01A 03DD ADD EBX,EBP
0066A01C 81EB 00A02600 SUB EBX,26A000
0066A022 83BD 22040000 0>CMP DWORD PTR SS:[EBP+422],0
0066A029 899D 22040000 MOV DWORD PTR SS:[EBP+422],EBX
0066A02F 0F85 65030000 JNZ 1717mu.0066A39A
0066A035 8D85 2E040000 LEA EAX,DWORD PTR SS:[EBP+42E]
0066A03B 50 PUSH EAX
0066A03C FF95 4D0F0000 CALL DWORD PTR SS:[EBP+F4D]
0066A042 8985 26040000 MOV DWORD PTR SS:[EBP+426],EAX
。。。。。。。。。。。。。。。。。。。。。。
于是直接命令行
DD 0012FFA4
在0012FFA4那里下硬件断点 F9运行
0066A3AF 61 POPAD
0066A3B0 75 08 JNZ SHORT 1717mu.0066A3BA 到这里`往上看`看到POPAD` 这里跳
0066A3B2 B8 01000000 MOV EAX,1
0066A3B7 C2 0C00 RETN 0C
0066A3BA 68 31384000 PUSH 1717mu.00403831 到这里
0066A3BF C3 RETN 返回
0066A3C0 8B85 26040000 MOV EAX,DWORD PTR SS:[EBP+426]
0066A3C6 8D8D 3B040000 LEA ECX,DWORD PTR SS:[EBP+43B]
。。。。。。。。。。。。。。。。
返回到
00403831 55 PUSH EBP 这里用OD直接脱壳。
00403832 8BEC MOV EBP,ESP
00403834 6A FF PUSH -1
00403836 68 F0624000 PUSH 1717mu.004062F0
0040383B 68 A44C4000 PUSH 1717mu.00404CA4
00403840 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
00403846 50 PUSH EAX
00403847 64:8925 0000000>MOV DWORD PTR FS:[0],ESP
0040384E 83EC 58 SUB ESP,58
00403851 53 PUSH EBX
00403852 56 PUSH ESI
00403853 57 PUSH EDI
00403854 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP
。。。。。。。。
脱壳后运行 发现文件数据错误 用Import REConstruct修复输入表也是一样。
后来看了2哥的(Upx变形壳脱壳+去除暗桩)才知道Overlay是指文件尾部有附加数据
于是打开WinHex运行没脱壳的程序。找附加数据
打开后点把那些数据拉到最后
然后点 搜索 -查找16进制。填上8个0 搜索那里选向上 。点确定
到了01593342 这里和到下面的全复制。发现有好多数据要复制啊`晕`这里我们用快点的方法
点上面的 编缉 定义选快 开始那里填01593342 结尾那里填 2646057就是数据最后的哪个地址
点确定 跟着复制
WinHex打开脱壳文件
把这些数据复制到脱壳文件的最后
跟着保存
脱壳的文件就可以运行了:)
--------------------------------------------------------------------------------
【版权声明】本文纯属技术交流, 转载请注明作者并保持文章的完整, 谢谢!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课