不用ImportREC脱 ASPacK 2.12壳
附件:文章:
【文章作者】: XuZhenG
【作者邮箱】: xuzheng1111@126.com
【作者主页】: http://hi.baidu.com/xuzheng1111
http://xz.bee.pl
【软件名称】: AsPacK 2.12 -> Alexey Solodovnikov
【下载地址】: 自己去华军下载
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
如有人将此用入商业用途,给作者造成损失本人概不负责。
--------------------------------------------------------------------------------
【详细过程】
没想到Hmily竟然是我同乡,那么他的论坛我一定要来捧场的了...
第一次出手不能太寒酸
这个录像是专门为了 52PoJie.Cn 论坛翻录的,这次加上了文字教程
事先声明:这个教程只给新手看!!!!!!!! 高手不许BS...
不用ImportREC脱壳ASPack
高手迅速飘过~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
很简单 3步走
第一步
BP VirtualFree
F9 停下来 -> 取消断点 -> Ctrl + F9 -> F8
停在这里
005D619D 83C6 08 add esi,8
005D61A0 833E 00 cmp dword ptr ds:,0
005D61A3 ^ 0F85 1EFFFFFF jnz mjqchess.005D60C7
005D61A9 68 00800000 push 8000
005D61AE 6A 00 push 0
005D61B0 FFB5 56010000 push dword ptr ss:
005D61B6 FF95 51050000 call dword ptr ss:
在push 8000 下 F2断点 F9 F2取消断点
此时用LoadPE Dump(Full)
第二步
拉到跳转到OEP那段经典代码
005D63B0 /75 08 jnz short mjqchess.005D63BA
005D63B2 |B8 01000000 mov eax,1
005D63B7 |C2 0C00 retn 0C
005D63BA \68 1AD54000 push mjqchess.0040D51A ;D51A就是OEP的Offset
005D63BF C3 retn
向上找 找到倒数第一个JMP
005D6384 8906 mov dword ptr ds:,eax ;F4到这一行
005D6386 8946 0C mov dword ptr ds:,eax
005D6389 8946 10 mov dword ptr ds:,eax
005D638C 83C6 14 add esi,14
005D638F 8B95 22040000 mov edx,dword ptr ss:
005D6395 ^ E9 EBFEFFFF jmp mjqchess.005D6285
就是这个JMP F4到JMP上面的第5行
此时看注释栏
eax=0040FF24 (mjqchess.0040FF24)
ds:=0000FF20
记下中括号中的地址 我这里就是 40FE80 同时减去程序基址 400000 也就是FE80
打开LoadPE中的PE编辑器 打开脱壳后的文件 点击目录 在下面找到导入表在RVA处填入 FE80
保存(记住一定要保存~~~~~~~~~) -> 确定 返回PE编辑器
不要关PE编辑器!
第三步
走到跳转到OEP的那段代码 就是push mjqchess.0040D54A
40D54A就是OEP ,那么OEP的Offset就是 D54A(减去基址400000)
在PE编辑器中填入OEP就是 D54A
保存 -> 确定
就脱壳成功了!
到这里就结束了。 满详细的
下来看看! 来看看这个东西啊。。。。。。。。。。。。。。 回复下载看看来。。。。。 学习学习压缩壳也有很多值得学习的地方啊 看样子不错啊,,,学习下哈 好啊,我下载下来看一下 导入表应该是输入表把????
请问 为什么程序不能运行?是不是大小没填呢? 昨天看了个老教程 似乎,,,,,,, 学高手学习