chuiyan121 发表于 2022-1-29 16:06

The030. 初探脱壳,ASProtect 1.23 RC4壳[Stolen Code]


The030. 初探脱壳,ASProtect 1.23 RC4壳
关于脱壳的记录,已有大牛教科书式帖文了,我就按照自己的习惯记录下来,如有疑问欢迎交流指正。^_^

1、PEiD查壳,ASProtect 1.23 RC4 - 1.3.08.24 -> Alexey Solodovnikov
https://s4.ax1x.com/2022/01/29/HSxqk4.png

2、OD载入,设置异常选项卡如下图。
https://s4.ax1x.com/2022/01/29/HSxH7F.png

最后一次异常法,27次跑飞,重载Shift+F9运行26次,retn出下F2断点,Shift+F9运行,取消断点。Alt+M打开内存映射窗口,在00401000处下F2断点。
https://s4.ax1x.com/2022/01/29/HSx70U.png

Shift+F9运行,直接跳转到OEP。发现入口代码被偷窃。
https://s4.ax1x.com/2022/01/29/HSxTmT.png

下面来修复被偷窃的代码,OD重载程序,运行至retn处,堆栈窗口00400000下2行,0012FFA4处数据窗口跟随,数据窗口下硬件断点。
https://s4.ax1x.com/2022/01/29/HSxIXV.png

Shift+F9,然后一直F7跟,见call就进,F8会跑飞。这也是ASProtect壳的特点。
https://s4.ax1x.com/2022/01/29/HSxLtJ.png

一直运行到这里,会发现被偷窃的代码,一共有5处,二进制复制并将代码汇总在一起如下:
55 8B EC 6A FF 68 78 E3 53 00 68 40 7B 4F 00 64 A1 00 00 00 00 50 64 89 25 00 00 00 00 83 EC 58 53 56 57 89 65 E8
https://s4.ax1x.com/2022/01/29/HSxOh9.png

再次去到假OEP,往上翻,粘贴二进制汇总代码,新建EIP,完成代码修复。
https://s4.ax1x.com/2022/01/29/HSxjpR.png

3、LordPE修正镜像大小,完整转存,ImportREC修复(打开原程序插件修复)。查询无壳,程序正常运行。
https://s4.ax1x.com/2022/01/29/HSxx6x.png




页: [1]
查看完整版本: The030. 初探脱壳,ASProtect 1.23 RC4壳[Stolen Code]