最近打了buu的DASCTF的比赛,但我是菜狗,就只做出了re的签到题(雾),还是学到了不少东西,就是Aspack的手动脱壳,记录下。

首先是用peid查壳,可以看到是aspcak壳。(exeinfope也可以,就是启动没有那么快)

然后在lordPE里面选特征值旁边的三个点

设置重定位已分离,保存即可

然后用ollydbg进行动调找函数的入口:
会弹出一个窗口:

压缩代码?
模块“XXXX”的快速统计报告标明其代码段要么被压缩、加密,要么包含大量的嵌入数据,代码分析的结果可能非常不可靠或者完全错误。是否继续分析?

这里选否

然后程序就会停在一个push处

F8单步进入一下,就会停在一个call处,查看此时旁边的ESP的地址是红的,右键其打个硬件断点:

然后F9运行到断点处。可以看到停在了一个jnz处

用F7单步到push处再F7两次,就跳转到另一个界面

F7步入到call处。此时按下回车可以看到四个安全函数,能确定函数入口就在后面

摁esc返回。
此时右键刚刚那个call的位置,从这里开始脱壳

有两处需要特别注意,一处就是取消勾选重建输入表,另一处是要记下修正为后面那传数字。

然后脱壳,起个随便的名字。

现在不要退出ollydbg

管理员身份运行ImportREConstructor
不是管理员就有可能看不到要脱壳的程序运行

此处找到要脱壳的文件

还记得刚刚要记住的那串数字吗?
OEP处填入,点击iat自动搜索。
获取导入表,

然后修正转储到刚刚ollydbg脱壳出的那个文件。会生成一个文件名+‘_’的文件。
好了到此脱壳结束,可以正常使用ida,F5了。

Aspack壳手动脱壳相关推荐

  1. 加固加壳脱壳分析(3)_实战手动脱壳某家加固

    手动脱壳准备 一个加固的Apk文件 frida环境 一台Root手机 手动脱壳准备 本次的脱壳目标就是一个叫每日优先的软件 我在论坛里分析了很久 最后发现这个软件适合用来练手 目标就是脱出完整的dex ...

  2. 浅谈壳的加载步骤及手动脱壳(转载)

    作者:不详 文章来源:不详 更新时间:2005-8-21 现在玩脱壳的人越来越多了,不知道是好事还是坏事.      现在玩手动脱壳一般三样工具足矣:loader,ImpREC,TRW2000.也许是 ...

  3. Ollydbg手动脱壳得几点小结

    手动脱壳 Ollydbg手动脱壳得几点小结:           一般认为手动脱壳的关键是找到软件的真正入口OEP,但是用ollydbg脱壳知道软件的真正入口OEP并不能解决问题,因为ollydbg的 ...

  4. 软件的壳和壳的含义、概念以及加壳和脱壳方法

    软件的壳和壳的含义.概念以及加壳和脱壳方法 PE(Portable Executable) 也就是EXE和DL)文件所具有的起压缩.加密.保护作用的东西.可以用PEiD等软件查壳. 加壳通过修改程序入 ...

  5. 恶意代码分析-第十八章-加壳与脱壳

    目录 笔记: 实验: Lab18-1 Lab18-2 Lab18-3 笔记: 壳的功能:缩减程序的大小,阻碍对加壳程序的探测和分析 解析函数导入表:1.仅导入LoadLibrary和GetProces ...

  6. 什么是加壳和脱壳技术?加壳和脱壳技术是什么意思?

    什么是加壳和脱壳技术?加壳和脱壳技术是什么意思? 加壳,是一种通过一系列数学运算,将可执行程序文件或动态链接库文件的编码进行改变(目前还有一些加壳软件可以压缩.加密驱动程序),以达到缩小文件体积或加密 ...

  7. 手动脱壳—dump与重建输入表(转)

    文章中用到的demo下载地址: http://download.csdn.net/detail/ccnyou/4540254 附件中包含demo以及文章word原稿 用到工具: Ollydbg Lor ...

  8. BUUCTF-Reverse:新年快乐 + 加壳与脱壳

    题目地址:https://buuoj.cn/challenges#%E6%96%B0%E5%B9%B4%E5%BF%AB%E4%B9%90 用IDA打开文件: 怎么可能才两个函数,猜测加了壳,直接查: ...

  9. 普通壳的脱壳方法和脱壳技巧

    转自:http://www.bllll.com/thread-43439-1-1.html 普通壳的脱壳方法和脱壳技巧 这篇文章,是我在之前在自学脱壳的时候,在笔记本是所做的脱壳总结:里面包括了各种壳 ...

  10. 逆向基础:软件手动脱壳技术入门

    前言: 大家好,我是周杰伦 这里整合了一下之前自己学习软件手工脱壳的一些笔记和脱文,希望能给新学软件逆向和脱壳的童鞋们一点帮助. 1 一些概念 1.1 加壳 加壳的全称应该是可执行程序资源压缩,是保护 ...

最新文章

  1. 【学习笔记】Android 图像处理
  2. kickstart文件配置与使用
  3. 支付宝18年账单已出,你消费了多少钱?
  4. 谈谈Angular关于$watch,$apply 以及 $digest的工作原理
  5. 做了44年保洁员,一生只会5个字,她却成为香港大学院士
  6. refs格式linux支持么,小科普 | 你听过ReFS硬盘格式吗?
  7. iOS -- block
  8. expdp导出表结构_Oracle用exp导出部分表和expdp
  9. 很迷茫,30岁,大专学历,没有一技之长,负债累累,怎么翻身?
  10. 一、Matlab图像处理入门
  11. How to Read a Visualization Research Paper: Extracting the Essentials
  12. 高刷新率笔记本电脑将低刷新率显示器作为扩展屏
  13. python中init什么意思_python中init是什么
  14. 关于Chrome浏览器的一些使用技巧
  15. docker invalid reference format: repository name must be lowercase
  16. 深入浅出:CPU,GPU,内存的优化
  17. 三个字摞一起念什么?【肯定有你不知道的】
  18. 要解决问题,先描述问题:5W1H 。
  19. 唤醒手腕Python全栈工程师学习笔记(网络爬虫篇)
  20. 综述向:强化学习经典方法梳理

热门文章

  1. 华为HCNE题库大全(第一部)
  2. Elongated Matrix
  3. Yoga Book YB1-X91F 重装win10系统后键盘没有震动的解决办法
  4. Oracle创建directory
  5. 【PHP】\r \r\n \t是什么
  6. Hugepages详解
  7. Android 查看 wifi 密码
  8. 计算机技术对人脸识别的作用,人脸识别技术有什么功能特点
  9. 360 android root权限获取,android手机怎么root权限获取
  10. 你是否错过了母校的AI本科专业?盘点2020国内本科开设人工智能专业高校