某软件(主程序
PROG.exe,3574K)用PEID探到ASPack 2.12 -> Alexey Solodovnikov
1。试用 ASPack Unpack 1.1 脱
[ 27.72] Load file Name.exe... [ ok ]
[ ---- ] Header info: ImageBase: 00400000, EP: 00008001
[ 34.02] Start debug session... [ ok ]
[ ---- ] PID: 00000B70
[142.03] Wait EP... [ ok ]
[ ---- ] Real ImageBase: 00400000
[ ---- ] Trace...
[ 4.33] ASPack technology detected!
[ ---- ] Find ASPack loader section... [ ok ]
[ 57.89] Processing import... [ ok ]
[ ---- ] Import RVA: 00007000 Size: 00000078
[ 46.17] Trace to OEP [ fast ]... [ ok ]
[ ---- ] OEP: 00003C94
[ ---- ] Processing relocations...
[ ---- ] Relocs not found :(
[ ---- ] Hot fix... [ ok ]
[ 3.54] ReBuild Resources... [ ok ]
[ 0.82] Kill ASPack loader section... [ ok ]
[ 28.09] Save dump (Name_u.exe)... [ ok ]
[ ---- ] Enjoy! I am done...
生成22K文件
PROG_U.exe 。明显小于原始文件。
运行此文件,报错“仅完成部分的ReadProcessMemoty 或 WriteProcessMemory 请求”
2。试用 waspack 脱
得到
_UnPacked.exe 3592K。运行同样报上错。
3。试用 PEID Generic Unpacker v0.1 插件脱
Unpack 时提示“Rebuild Imports with ImpREC ”选Y后 报“Can't load the process”
产生3596K文件
PROG.exe.unpacked.exe
运行该文件报“应用程序初始化(0xc0000005)失败...”
4。尝试用OD调试
由于属于初段,OD调试中未能发现有价值的东西。
由于Progamer,分析软件使用和调试情况推断:
可能有使用文件校验、Anti-debug技术。
软件采用VFP制作。
程序有天数、次数试用限制,运行时首先弹出MESSAGE窗口报限制。(已分析程序运行通过写一个自生成的DLL 1K大小文件来处理)
确定上述窗口后,来到程序主界面。前置注册窗口(工具探知为动态的窗口ID,每次都不同),估计是不同进程。
请高人给点脱壳建议。谢谢
[课程]Linux pwn 探索篇!