-
-
[旧帖]
[分享]给大家四大压缩壳的几种脱法
0.00雪花
-
发表于:
2008-6-17 04:55
3650
-
[旧帖] [分享]给大家四大压缩壳的几种脱法
0.00雪花
四大压缩壳有UPX SFG ASPACK NSPACK
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
1.捷径法
2:内存镜像法
3.ESP定律
4.单步跟踪法
5.断点法GetProcAddress OEP最近的函数
*****************************************************************
ASPack 1.08.03 -> Alexey Solodovnikov 1跳
ASPack 2.11 -> Alexey Solodovnikov 1进 让他回跳 1跳
ASPack 2.12 -> Alexey Solodovnikov 2进 1跳
方法1:单步跟踪
方法2:ESP定律
方法3:一步直达
方法4:2次内存镜像
方法5:模拟跟踪
方法6:SFX
*****************************************************************
nSPack 1.3 -> North Star/Liu Xing Ping
nSPack 2.2 -> North Star/Liu Xing Ping
nSPack 3.7 -> North Star/Liu Xing Ping
1:巧方法脱
2:ESP定律法:
3:单步跟踪法
4.一步直达
5:断点法
at GetVersion
bp CreateFileA
*****************************************************************
FSG 1.33
1.内存景象法
2.ESP定律(忽略所有异常)
3:模拟跟踪法(不忽略内存异常)
4:单步法(忽略所有异常)
FSG 1.33变形壳
1.内存景象法
2.ESP定律(忽略所有异常)
3:模拟跟踪法(不忽略内存异常)
4:单步法(忽略所有异常)
SFG 2.0 《手动找IAT》
1.特殊单步法:
inc eax
js short qqspirit.004001C2
jnz short qqspirit.004001D4 不要他跳
jmp dword ptr ds:[ebx+C] F4 就到OEP
push eax
2.特殊FSP法
单步2步
看堆栈第4行 右-反汇篇窗口跟随 这时候可以看到代码窗口都是为O代码
下硬件断点 F9
或CTRL+G到OEP地址 F2 F9 F2
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
