Aspack壳手动脱壳
最近打了buu的DASCTF的比赛,但我是菜狗,就只做出了re的签到题(雾),还是学到了不少东西,就是Aspack的手动脱壳,记录下。
首先是用peid查壳,可以看到是aspcak壳。(exeinfope也可以,就是启动没有那么快)
然后在lordPE里面选特征值旁边的三个点
设置重定位已分离,保存即可
然后用ollydbg进行动调找函数的入口:
会弹出一个窗口:
压缩代码?
模块“XXXX”的快速统计报告标明其代码段要么被压缩、加密,要么包含大量的嵌入数据,代码分析的结果可能非常不可靠或者完全错误。是否继续分析?
这里选否
然后程序就会停在一个push处
用F8单步进入一下,就会停在一个call处,查看此时旁边的ESP的地址是红的,右键其打个硬件断点:
然后F9运行到断点处。可以看到停在了一个jnz处
用F7单步到push处再F7两次,就跳转到另一个界面
F7步入到call处。此时按下回车可以看到四个安全函数,能确定函数入口就在后面
摁esc返回。
此时右键刚刚那个call的位置,从这里开始脱壳
有两处需要特别注意,一处就是取消勾选重建输入表,另一处是要记下修正为后面那传数字。
然后脱壳,起个随便的名字。
现在不要退出ollydbg
以管理员身份运行ImportREConstructor
不是管理员就有可能看不到要脱壳的程序运行
此处找到要脱壳的文件
还记得刚刚要记住的那串数字吗?
OEP处填入,点击iat自动搜索。
获取导入表,
然后修正转储到刚刚ollydbg脱壳出的那个文件。会生成一个文件名+‘_’的文件。
好了到此脱壳结束,可以正常使用ida,F5了。
Aspack壳手动脱壳相关推荐
- 加固加壳脱壳分析(3)_实战手动脱壳某家加固
手动脱壳准备 一个加固的Apk文件 frida环境 一台Root手机 手动脱壳准备 本次的脱壳目标就是一个叫每日优先的软件 我在论坛里分析了很久 最后发现这个软件适合用来练手 目标就是脱出完整的dex ...
- 浅谈壳的加载步骤及手动脱壳(转载)
作者:不详 文章来源:不详 更新时间:2005-8-21 现在玩脱壳的人越来越多了,不知道是好事还是坏事. 现在玩手动脱壳一般三样工具足矣:loader,ImpREC,TRW2000.也许是 ...
- Ollydbg手动脱壳得几点小结
手动脱壳 Ollydbg手动脱壳得几点小结: 一般认为手动脱壳的关键是找到软件的真正入口OEP,但是用ollydbg脱壳知道软件的真正入口OEP并不能解决问题,因为ollydbg的 ...
- 软件的壳和壳的含义、概念以及加壳和脱壳方法
软件的壳和壳的含义.概念以及加壳和脱壳方法 PE(Portable Executable) 也就是EXE和DL)文件所具有的起压缩.加密.保护作用的东西.可以用PEiD等软件查壳. 加壳通过修改程序入 ...
- 恶意代码分析-第十八章-加壳与脱壳
目录 笔记: 实验: Lab18-1 Lab18-2 Lab18-3 笔记: 壳的功能:缩减程序的大小,阻碍对加壳程序的探测和分析 解析函数导入表:1.仅导入LoadLibrary和GetProces ...
- 什么是加壳和脱壳技术?加壳和脱壳技术是什么意思?
什么是加壳和脱壳技术?加壳和脱壳技术是什么意思? 加壳,是一种通过一系列数学运算,将可执行程序文件或动态链接库文件的编码进行改变(目前还有一些加壳软件可以压缩.加密驱动程序),以达到缩小文件体积或加密 ...
- 手动脱壳—dump与重建输入表(转)
文章中用到的demo下载地址: http://download.csdn.net/detail/ccnyou/4540254 附件中包含demo以及文章word原稿 用到工具: Ollydbg Lor ...
- BUUCTF-Reverse:新年快乐 + 加壳与脱壳
题目地址:https://buuoj.cn/challenges#%E6%96%B0%E5%B9%B4%E5%BF%AB%E4%B9%90 用IDA打开文件: 怎么可能才两个函数,猜测加了壳,直接查: ...
- 普通壳的脱壳方法和脱壳技巧
转自:http://www.bllll.com/thread-43439-1-1.html 普通壳的脱壳方法和脱壳技巧 这篇文章,是我在之前在自学脱壳的时候,在笔记本是所做的脱壳总结:里面包括了各种壳 ...
- 逆向基础:软件手动脱壳技术入门
前言: 大家好,我是周杰伦 这里整合了一下之前自己学习软件手工脱壳的一些笔记和脱文,希望能给新学软件逆向和脱壳的童鞋们一点帮助. 1 一些概念 1.1 加壳 加壳的全称应该是可执行程序资源压缩,是保护 ...
最新文章
- 【学习笔记】Android 图像处理
- kickstart文件配置与使用
- 支付宝18年账单已出,你消费了多少钱?
- 谈谈Angular关于$watch,$apply 以及 $digest的工作原理
- 做了44年保洁员,一生只会5个字,她却成为香港大学院士
- refs格式linux支持么,小科普 | 你听过ReFS硬盘格式吗?
- iOS -- block
- expdp导出表结构_Oracle用exp导出部分表和expdp
- 很迷茫,30岁,大专学历,没有一技之长,负债累累,怎么翻身?
- 一、Matlab图像处理入门
- How to Read a Visualization Research Paper: Extracting the Essentials
- 高刷新率笔记本电脑将低刷新率显示器作为扩展屏
- python中init什么意思_python中init是什么
- 关于Chrome浏览器的一些使用技巧
- docker invalid reference format: repository name must be lowercase
- 深入浅出:CPU,GPU,内存的优化
- 三个字摞一起念什么?【肯定有你不知道的】
- 要解决问题,先描述问题:5W1H 。
- 唤醒手腕Python全栈工程师学习笔记(网络爬虫篇)
- 综述向:强化学习经典方法梳理