吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 10407|回复: 6
收起左侧

[分享] 手脱ASPack v2.12变形壳2

[复制链接]
Jian丶ylt 发表于 2015-11-15 02:50
声明:

       1.只为纪录自己成长历程,高手勿喷
       2.您的热心是新手持续发帖的动力

1.PEID载入

    ASPack v2.12
   
2.载入OD,跟之前帖子的入口特征相同,都是一个pushad,但是请不要怀疑这是同一个壳,绝对不是,pushad下一行ESP定律下硬件断点,然后shift+F9运行一次

[Asm] 纯文本查看 复制代码
0057E001 >  60              pushad                            ; //程序入口点
0057E002    E8 03000000     call memcolla.0057E00A            ; //ESP定律
0057E007  - E9 EB045D45     jmp 45B4E4F7
0057E00C    55              push ebp
0057E00D    C3              retn
0057E00E    E8 01000000     call memcolla.0057E014


3.ESP落脚点,删除硬件断点继续F8,注意,普通的aspack壳在注释的地方会跳向OEP,但是这个没有

[Asm] 纯文本查看 复制代码
0057E3B0   /75 08           jnz short memcolla.0057E3BA       ; //程序落脚点
0057E3B2   |B8 01000000     mov eax,0x1
0057E3B7   |C2 0C00         retn 0xC
0057E3BA   \68 00104000     push memcolla.00401000
0057E3BF    C3              retn                              ; //普通壳会在这里跳向OEP
0057E3C0    8B85 26040000   mov eax,dword ptr ss:[ebp+0x426]
0057E3C6    8D8D 3B040000   lea ecx,dword ptr ss:[ebp+0x43B]


4.步骤3的retn跳向的位置,到这里继续F8

[Asm] 纯文本查看 复制代码
00401000    87C0            xchg eax,eax                      ; //跳转的位置
00401002    FC              cld
00401003    80EC 00         sub ah,0x0
00401006    83F1 00         xor ecx,0x0
00401009    90              nop


5.这是一个近call,F7跟进,然后继续F8就可以到达OEP了,需要注意的是中间有几个向上跳转,记得在下一行F4

[Asm] 纯文本查看 复制代码
0057D40D    E8 12000000     call memcolla.0057D424            ; //F7
0057D412    80CA 00         or dl,0x0
0057D415    50              push eax                          
0057D416    9C              pushfd
0057D417    58              pop eax                           
0057D418    F6C4 01         test ah,0x1
0057D41B  - 75 FE           jnz short memcolla.0057D41B


6.找到关键跳,F8一下就可以到OEP了

[Asm] 纯文本查看 复制代码
0057D5A3    61              popad
0057D5A4    BA F8085000     mov edx,memcolla.005008F8
0057D5A9  - FFE2            jmp edx                           ; //指向OEP的关键跳
0057D5AB    0000            add byte ptr ds:[eax],al
0057D5AD    0000            add byte ptr ds:[eax],al


7.来到OEP,可以脱壳

[Asm] 纯文本查看 复制代码
005008F8    55              push ebp                          ; //OEP
005008F9    8BEC            mov ebp,esp
005008FB    83C4 F0         add esp,-0x10
005008FE    53              push ebx                          
005008FF    56              push esi                          
00500900    B8 10045000     mov eax,memcolla.00500410
00500905    E8 665FF0FF     call memcolla.00406870
0050090A    8B1D 08415000   mov ebx,dword ptr ds:[0x504108]   
00500910    8B35 9C415000   mov esi,dword ptr ds:[0x50419C]   


8.运行,查壳

    运行OK,查壳:Borland Delphi 4.0






免费评分

参与人数 1热心值 +1 收起 理由
heiyan + 1 热心回复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

heiyan 发表于 2015-11-15 03:38
大神,后面会不会出SE,VPM之类的
 楼主| Jian丶ylt 发表于 2015-11-15 04:27
sxdcr 发表于 2015-11-16 03:04
mfvpnhaha 发表于 2017-11-21 12:16 来自手机
有一个一样的壳表示看不懂
ziye 发表于 2018-4-28 14:28
出现无发定位输入点ntdlldefwindowproc_a于动态链接库user32.dll上
倍儿爽 发表于 2018-7-2 23:22
软件都不给出来,差评,!!!在这炫耀?
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-17 03:09

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表