手脱Aspack变形壳1
1.载入PEID
Aspack v2.12 -> www.aspack.com
2.载入OD,不管是看查壳信息还是看入口特征都跟我上一次发的一个手脱Aspack v2.12的帖子相同http://www.52pojie.cn/thread-433042-1-1.html,但是真的相同吗?按照上次帖子的经验,pushfd下面就可以使用ESP定律了,但是在shift+F9的时候会跑飞,显然这不是一个普通的Aspack壳,应该是变形过的。这是一个近call,F7跟进,不然会跑飞,然后继续F8单步走
0044D001 > 9C pushfd ; //入口点 0044D002 E8 03000000 call qqspirit.0044D00A ; //ESP会跑飞,F7跟进 0044D007 - E9 EB045D45 jmp 45A1D4F7 0044D00C 55 push ebp 0044D00D C3 retn 0044D00E E8 01000000 call qqspirit.0044D014 0044D013 EB 5D jmp short qqspirit.0044D072
3.又走到一个近call,继续F7跟进,不然会跑飞,然后继续F8,注意后面的F8比较长,有点耐心,另外,向上跳转的下一行F4别忘了
0044D00B 45 inc ebp 0044D00C 55 push ebp 0044D00D C3 retn 0044D00E E8 01000000 call qqspirit.0044D014 ; //F7 0044D013 EB 5D jmp short qqspirit.0044D072 0044D015 BB EDFFFFFF mov ebx,-0x13
4.经过了不知道多少个F8和F4,来到了这个指向OEP的关键跳,最后一次F8
0044D3A1 FFB5 22040000 push dword ptr ss:[ebp+0x422] 0044D3A7 59 pop ecx 0044D3A8 03C1 add eax,ecx 0044D3AA - FFE0 jmp eax ; //指向OEP的关键跳 0044D3AC AB stos dword ptr es:[edi] 0044D3AD CE into 0044D3AE FFFF ???
5.来到OEP,可以脱壳了
0040A86D 55 push ebp ; //oep 0040A86E 8BEC mov ebp,esp 0040A870 6A FF push -0x1 0040A872 68 78794200 push qqspirit.00427978 0040A877 68 F4E14000 push qqspirit.0040E1F4 0040A87C 64:A1 00000000 mov eax,dword ptr fs:[0] 0040A882 50 push eax 0040A883 64:8925 0000000>mov dword ptr fs:[0],esp 0040A88A 83EC 58 sub esp,0x58
6.运行,查壳
运行OK,查壳:Microsoft Visual C++ v6.0
转载于:https://www.cnblogs.com/JianXu/p/5158375.html
手脱Aspack变形壳1相关推荐
- 用ollydbg手脱UPX加壳的DLL
用Ollydbg手脱UPX加壳的DLL 作者:fly [目标程序]:UPX加壳的EdrLib.dll.附件中还有输入表.重定位数据.UPXAngela以及UnPacked以供参考. [作 ...
- 手脱UPX壳的几种方法
最近在研究各个壳的脱壳方法,有些心得,和大家分享一下如何手脱UPX的壳 我们的流程是 PEID查壳 得知壳的形式为 UPX 0.89.6 - 1.02/ 1.05 - 2.90 -> Marku ...
- 简单脱壳教程笔记(3)---手脱UPX壳(2)
我们接着上一篇 "简单脱壳教程笔记(2)---手脱UPX壳(1)"继续.我们说了UPX我们可以使用四种方式,上一篇已经详细的讲解了单步跟踪法,接下来,我们讲解其他方式. 方法2 ...
- 【2022.1.3】手脱压缩壳练习(含练习exe)
[2022.1.3]手脱压缩壳练习(含练习exe) 文章目录 [2022.1.3]手脱压缩壳练习(含练习exe) 0.简介 1.单步跟踪法 (#)方法介绍 (0)练习exe下载 (1).查看源程序 ( ...
- 简单脱壳教程笔记(2)---手脱UPX壳(1)
本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记. ximo早期发的脱壳基础视频教程 下载地址如下: http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7% ...
- 用ollydbg手脱ArmadilloV3.60加壳的DLL
用Ollydbg手脱ArmadilloV3.60加壳的DLL 作者:fly [作者声明]:只是感兴趣,没有其他目的.失误之处敬请诸位大侠赐教! [调试环境]:WinXP.Ollydbg1.10C.PE ...
- RE入门之脱壳——手脱UPX壳
很多加了壳的软件是很难逆向分析的,需要手脱.下面以UPX壳为例简单介绍一下如何手动脱壳 需要工具:x64dbg. 以buuctf中re的新年快乐为例 拿到程序以后使用x64dbg打开. F9运行到程序 ...
- 工具脱ASPack壳
工具脱ASPack壳 教程下载地址:http://pan.baidu.com/netdisk/singlepublic?fid=833416_101656743 本文转自 zhangguangyi 5 ...
- 手动脱Mole Box壳实战总结
作者:Fly2015 这个程序是吾爱破解脱壳练习第8期的加壳程序,该程序的壳是MoleBox V2.6.5壳,这些都是广告,能够直接无视了.前面的博客手动脱Mole Box V2.6.5壳实战中已经给 ...
- [转] 菜鸟手脱VMP,附上脱壳过程和自己写的脚本,可跨平台
转载:http://www.52pojie.cn/thread-467703-1-1.html 工作需要要脱一个VMP壳,我是一个从来没接触过脱壳的人.瞬间那种心情遇到的人应该都知道!没办法硬着头皮找 ...
最新文章
- Windbg调试命令详解(3)
- 使用C++实现功能下载文件
- linux下的c语言mysql编程,详解java google Thumbnails 图片处理
- makefile:2: *** 遗漏分隔符 。 停止
- (转) Spring 3 报org.aopalliance.intercept.MethodInterceptor问题解决方法
- android手机 环境变量 文件,【图片】【教程】配置安卓Java环境变量【手机端反编译吧】_百度贴吧...
- 使用 vs 2008 宏制作自动注释工具
- Microsoft Visual C++ 14.0 is required (Unable to find vcvarsall.bat)
- servlet解析演进(1)
- nodejs操作sqlserver数据_SQL Server数据库损坏和修复
- Storm 多语言支持
- 关于CUDA,cuDNN,TF,CUDA驱动版本兼容问题
- html页面广告5秒之后跳过
- 正则html标签sublime,sublimetext 使用正则表达式匹配中文
- win10重装,检测到硬盘错误:在MBR硬盘上没有找到可以引导的分区
- 2020-2021学年第二学期期末考试《药物治疗学》大作业
- python中random.sample()函数
- 硬盘S.M.A.R.T. status Failing
- 一名大学生选择军哥的乾颐堂是如何顺利通过华为HCIE的,又如何应对HCIE面试呢?...
- 通过计算机组成原理你能得到什么?
热门文章
- 正点原子STM32(基于HAL库)1
- 改变cmd窗口的前景色和背景色
- 苹果开发者账号续费不成功?提示你的支付授权失败?看这里...
- 网络链接错误,请检查配置后重试!
- IE清除默认的三角形
- convert 8bit/10bit RGB444,YUV444,NV12,NV21 to PNG
- 免费空间(免备案,无广告) 1G免费全能空间
- 社会工程学之从微信取名看性格
- 基于layui的省市镇三级联动js
- 管理计算机找不到应用程序,电脑打开IE浏览器显示找不到应用程序如何解决