The019. 初探脱壳,ASPack壳 [自校验]
The019. 初探脱壳,ASPack壳 [自校验]
关于脱壳的记录,已有大牛教科书式帖文了,我就按照自己的习惯记录下来,如有疑问欢迎交流指正。^_^
1、PEiD查壳,ASPack 2.12 -> Alexey Solodovnikov,程序带自校验,运行后有“正常运行”提示。
https://s4.ax1x.com/2022/01/17/7aZbGj.png
2、OD载入,ESP定律法,到达下图OEP跳转点。
https://s4.ax1x.com/2022/01/17/7aZIZ8.png
F8跟进,到达OEP。
https://s4.ax1x.com/2022/01/17/7aZHiQ.png
3、LordPE修正镜像大小,完整转存,ImportREC修复。查询无壳,程序不能运行。
https://s4.ax1x.com/2022/01/17/7aZTIg.png
在OD中手动查找RAV和Size,RAV查找方法如下图,Size为00425190往下翻,直到没有函数调用,数值为00000000为止,用此时的地址减去00425190,得出的数值就是Size。注意:这里的减法用16进制计算器计算。
https://s4.ax1x.com/2022/01/17/7aZodS.png
上图获得RAV:00025190,Size:00000500,ImportREC重新修复,剪切无效指针,转储到文件。
https://s4.ax1x.com/2022/01/17/7aZLzn.png
发现程序还是不能运行 - _ -
https://s4.ax1x.com/2022/01/17/7aZqRs.png
ximo大牛说冷静不要慌,是时候祭出双OD大法了。按下图下断点,运行。
https://s4.ax1x.com/2022/01/17/7aZXMq.png
Alt+F9执行到用户代码,F8跟进,在每个跳转进行比对,发现0040120C处,原程序未跳转,脱壳程序跳转了。
https://s4.ax1x.com/2022/01/17/7aZjs0.png
既然发现了自校验,就可以开始修改程序了。ximo大牛提供了三种修改方法,都可以达到效果,罗列如下:
1.NOP法
https://s4.ax1x.com/2022/01/17/7aZvLV.png
2.修改跳转
https://s4.ax1x.com/2022/01/17/7aZzZT.png
3.修改比较条件
https://s4.ax1x.com/2022/01/17/7aeSdU.png
以上任意方法修改后,复制到可执行文件,所有修改。
https://s4.ax1x.com/2022/01/17/7aepoF.png
保存为exe文件。
https://s4.ax1x.com/2022/01/17/7aePJJ.png
发现程序运行成功了。自校验解除。
https://s4.ax1x.com/2022/01/17/7aeCi4.png
这次篇幅比较长,主要是记性不好,写详细点备忘。^_^
要是录个视频就更好了 luoxuan 发表于 2022-1-17 17:55
要是录个视频就更好了
有视频呀,ximo大牛的视频教程:https://down.52pojie.cn/吾爱破解视频教程/ximo脱壳基础.7z 能帮我看下我的帖子吗?
https://www.52pojie.cn/thread-1577308-1-1.html
需要一点思路,谢谢 chuiyan121 发表于 2022-1-17 18:19
有视频呀,ximo大牛的视频教程:https://down.52pojie.cn/吾爱破解视频教程/ximo脱壳基础.7z
谢谢分享..... svmp的能破吗?
页:
[1]