纯菜鸟脱ASPack 2.12 壳

xoradd

小小菜鸟脱ASPack 2.12 壳，大侠们飘过吧   看过几篇文章，找了个简单的壳脱下练练手
工具：吾爱破解版OD，太强大了，常用的工具都带，lord-pe,importREC


005C5001 >  60              pushad
005C5002    E8 03000000     call Hide_Pri.005C500A                   ; 关键CALL，跟进（因为第一次步过程序运行）
005C5007  - E9 EB045D45     jmp 45B954F7
005C500C    55              push ebp
005C500D    C3              retn
005C500E    E8 01000000     call Hide_Pri.005C5014                   ; 关键CALL，跟进（因为第二次步过程序运行）
005C5013    EB 5D           jmp XHide_Pri.005C5072
005C5015    BB EDFFFFFF     mov ebx,-0x13
005C501A    03DD            add ebx,ebp
005C501C    81EB 00501C00   sub ebx,0x1C5000
005C5022    83BD 22040000 0>cmp dword ptr ss:[ebp+0x422],0x0
005C5029    899D 22040000   mov dword ptr ss:[ebp+0x422],ebx

到这里，然后一路F8步过
005C5014    5D              pop ebp                                  ; Hide_Pri.005C5013
005C5015    BB EDFFFFFF     mov ebx,-0x13
005C501A    03DD            add ebx,ebp
005C501C    81EB 00501C00   sub ebx,0x1C5000
005C5022    83BD 22040000 0>cmp dword ptr ss:[ebp+0x422],0x0
005C5029    899D 22040000   mov dword ptr ss:[ebp+0x422],ebx
005C502F    0F85 65030000   jnz Hide_Pri.005C539A
005C5035    8D85 2E040000   lea eax,dword ptr ss:[ebp+0x42E]



005C512D    0BC9            or ecx,ecx
005C512F    74 2E           je XHide_Pri.005C515F
005C5131    78 2C           js XHide_Pri.005C515F
005C5133    AC              lods byte ptr ds:[esi]
005C5134    3C E8           cmp al,0xE8
005C5136    74 0A           je XHide_Pri.005C5142
005C5138    EB 00           jmp XHide_Pri.005C513A
005C513A    3C E9           cmp al,0xE9
005C513C    74 04           je XHide_Pri.005C5142
005C513E    43              inc ebx
005C513F    49              dec ecx
005C5140  ^ EB EB           jmp XHide_Pri.005C512D    到这里，程序往回跳到005C512D，根据大神们的经验，无视它，直接运行到下行
005C5142    8B06            mov eax,dword ptr ds:[esi]

注意下面还有类似的往回跳的跳转，直接运行到下行代码
还是一路F8步过直到005C53BF,注意retn返回到004F2F68，这是一个明显的大跳转
按大神们的经验，往往这是要跳到OEP了


005C53BF    C3              retn
005C53C0    8B85 26040000   mov eax,dword ptr ss:[ebp+0x426]
005C53C6    8D8D 3B040000   lea ecx,dword ptr ss:[ebp+0x43B]
005C53CC    51              push ecx
005C53CD    50              push eax
005C53CE    FF95 490F0000   call dword ptr ss:[ebp+0xF49]
005C53D4    8985 55050000   mov dword ptr ss:[ebp+0x555],eax


到这里，右键--分析---从模块中分析删除，
004F2F68      55            db 55                                    ;  CHAR 'U'
004F2F69      8B            db 8B
004F2F6A      EC            db EC
004F2F6B      83            db 83
004F2F6C      C4            db C4
004F2F6D      F0            db F0
004F2F6E      53            db 53                                    ;  CHAR 'S'
004F2F6F      B8            db B8
004F2F70      10            db 10
004F2F71      2B            db 2B                                    ;  CHAR '+'
004F2F72      4F            db 4F                                    ;  CHAR 'O'
004F2F73      00            db 00
004F2F74      E8            db E8
004F2F75      EF            db EF
004F2F76      3B            db 3B                                    ;  CHAR ';'
004F2F77      F1            db F1
004F2F78      FF            db FF


OK，是不是很熟悉，接下了DUMP吧，脱壳之后PEID查看Borland Delphi 6.0 - 7.0
记下笔记，DELPHI的OEP头部，好了继续尝试下破解

004F2F68    55              push ebp
004F2F69    8BEC            mov ebp,esp
004F2F6B    83C4 F0         add esp,-0x10
004F2F6E    53              push ebx
004F2F6F    B8 102B4F00     mov eax,Hide_Pri.004F2B10
004F2F74    E8 EF3BF1FF     call Hide_Pri.00406B68


注，这个是天草的教程所带的，还没看教程自己尝试了一下脱壳，还真让我蒙着了
继续研究破解他
Hide2Image.rar (1010.7 KB, 下载次数: 47)

2012-2-7 20:59 上传

点击文件名下载附件

字符串参考，明码，还不会追算法！继续努力学习