1.载入PEID

  1. Aspack v2.12 -> www.aspack.com

2.载入OD,不管是看查壳信息还是看入口特征都跟我上一次发的一个手脱Aspack v2.12的帖子相同http://www.52pojie.cn/thread-433042-1-1.html,但是真的相同吗?按照上次帖子的经验,pushfd下面就可以使用ESP定律了,但是在shift+F9的时候会跑飞,显然这不是一个普通的Aspack壳,应该是变形过的。这是一个近call,F7跟进,不然会跑飞,然后继续F8单步走

  1. 0044D001 >  9C              pushfd                            ; //入口点
  2. 0044D002    E8      call qqspirit.0044D00A            ; //ESP会跑飞,F7跟进
  3. 0044D007  - E9 EB045D45     jmp 45A1D4F7
  4. 0044D00C                  push ebp
  5. 0044D00D    C3              retn
  6. 0044D00E    E8      call qqspirit.0044D014
  7. 0044D013    EB 5D           jmp short qqspirit.0044D072
  1.  

3.又走到一个近call,继续F7跟进,不然会跑飞,然后继续F8,注意后面的F8比较长,有点耐心,另外,向上跳转的下一行F4别忘了

  1. 0044D00B                  inc ebp
  2. 0044D00C                  push ebp
  3. 0044D00D    C3              retn
  4. 0044D00E    E8      call qqspirit.0044D014            ; //F7
  5. 0044D013    EB 5D           jmp short qqspirit.0044D072
  6. 0044D015    BB EDFFFFFF     mov ebx,-0x13
  1.  

4.经过了不知道多少个F8和F4,来到了这个指向OEP的关键跳,最后一次F8

  1. 0044D3A1    FFB5    push dword ptr ss:[ebp+0x422]
  2. 0044D3A7                  pop ecx
  3. 0044D3A8    03C1            add eax,ecx
  4. 0044D3AA  - FFE0            jmp eax                           ; //指向OEP的关键跳
  5. 0044D3AC    AB              stos dword ptr es:[edi]
  6. 0044D3AD    CE              into
  7. 0044D3AE    FFFF            ???

5.来到OEP,可以脱壳了

  1. 0040A86D                  push ebp                          ; //oep
  2. 0040A86E    8BEC            mov ebp,esp
  3. 0040A870    6A FF           push -0x1
  4. 0040A872          push qqspirit.
  5. 0040A877     F4E14000     push qqspirit.0040E1F4
  6. 0040A87C    :A1   mov eax,dword ptr fs:[]
  7. 0040A882                  push eax
  8. 0040A883    : >mov dword ptr fs:[],esp
  9. 0040A88A    83EC          sub esp,0x58
  1.  

6.运行,查壳

  1. 运行OK,查壳:Microsoft Visual C++ v6.0

手脱Aspack变形壳1的更多相关文章

  1. 简单脱壳教程笔记(7)---手脱PECompact2.X壳

    本笔记是针对ximo早期发的脱壳基础视频教程.整理的笔记.本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9466056 简单介绍: F ...

  2. 手脱ASPack2.12壳(练习)

    俗话说柿子挑软的捏,练习脱壳还得用加密壳脱 0x01 准备 1.OD 2.ASPack加壳软件 0x02 脱壳实战 查一下壳 OD载入 第一个call,F7进去 第二个call也是F7进去 之后往下单 ...

  3. 手脱ASPack v2.12变形壳2

    1.PEID载入 ASPack v2.12 2.载入OD,跟之前帖子的入口特征相同,都是一个pushad,但是请不要怀疑这是同一个壳,绝对不是,pushad下一行ESP定律下硬件断点,然后shift+ ...

  4. 手脱ASPack v2.12

    1.PEID查壳提示为: ASPack 2.12 -> Alexey Solodovnikov 2.载入OD,程序入口点是一个pushad,在他的下一行就可以进行ESP定律,下硬件访问断点然后s ...

  5. 手脱ASPack

    ESP定律到达OEP,重新分析代码块 在菜单栏中找到OllyDump插件,该插件的窗口的弹了出来,有一些选项可供我们修改,我们可以对Base of Code进行修改,这里Base of Code = ...

  6. 手脱UPX3.91壳(练习)

    0x01 准备 OD UPX加壳程序 可以加壳的软件 0x02 给软件加壳 我找了半天发现winhex不错,而且是没壳的可以直接加壳 1.复制一份可执行文件 将赋值好的文件用UPX3.91加壳 0x0 ...

  7. 【个人笔记】ximo早期发的脱壳教程——手脱UPX壳

    [个人笔记]ximo早期发的脱壳教程--手脱UPX壳   壳分为两种:压缩壳和加密壳,UPX是一种很简单的压缩壳.   手脱UPX壳: 工具:ExeinfoPE.OD 对象:rmvbfix 方法1:单 ...

  8. 简单脱壳教程笔记(2)---手脱UPX壳(1)

    本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记. ximo早期发的脱壳基础视频教程 下载地址如下: http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7% ...

  9. 手动脱UPX压缩壳

    示例程序演示 样例程序选择win7自带的notepad.exe,该程序原本是没有加壳的: 拷贝notepad.exe文件一个副本,重命名为notepad - upx.exe,我们对notepad - ...

随机推荐

  1. ICPC 沈阳 Problem C

    题意 求n的全排列中将前k个数排序后最长公共子序列>=n-1的个数 思考 我们先把最后可能产生的结果找出来,再找有多少种排列能构成这些结果 设排列为s S like 1,2,3,...,n , ...

  2. C#判断字符串中是否有数字

    // <summary> /// 提取字符串中的数字字符串 /// </summary> /// <param name="str"></ ...

  3. 华为笔试——C++进制转换

    题目:2-62进制转换 题目介绍:输入一个n1 进制的整数(包括负数),将其转换成n2 进制,其中n1 .n2 的范围是 [ 2,62 ] .每个数字的范围是0-9.a-z.A-Z.不用考虑非法输入. ...

  4. oozie的shell-action中加入hive脚本命令启动执行shell同时操作hive,抛异常Container killed on request. Exit code is 143 Container exited with a non-zero exit code 143

    使用oozie来调度操作,用shell的action执行命令,其中shell里包含着hive -e 操作执行时,oozie窗口报 WARN ShellActionExecutor: - SERVER[ ...

  5. django的htpp请求之WSGIRequest

    WSGIRequest对象 Django在接收到http请求之后,会根据http请求携带的参数以及报文信息创建一个WSGIRequest对象,并且作为视图函数第一个参数传给视图函数.这个参数就是dja ...

  6. "感应锁屏"Alpha版使用说明

    “感应锁屏”Alpha版使用说明 一.产品介绍 感应锁屏是锁屏软件的一大创新.相比传统的锁屏软件,“感应锁屏”从可操作性.方便性.功能全面性都有了很大的提升,可以让用户方便快捷的进行锁屏操作. “感应 ...

  7. vmvare fusion 8

    http://jingyan.baidu.com/article/54b6b9c0f8830f2d583b47ce.html 补充:vmware tools  在上面,直接点击安装

  8. tomcat启动时,报java.io.EOFException

    在启动Tomcat的时候突然报出IO异常,具体异常如下图 在网上找了解决方法,测试了好几种,都不行,到最后看了一个博客解决了,在此记录一下. 百度了下,网上都是说去Tomcat目录下:将tomcat5 ...

  9. 多tab点击切换

    现在来一个小练习,就是用js实现多tab之间的切换: <body> <ul id="tab"> <li id="tab1"> ...

  10. QTemporaryDir及QTemporaryFile建立临时目录及文件夹

    版权声明:若无来源注明,Techie亮博客文章均为原创. 转载请以链接形式标明本文标题和地址: 本文标题:QTemporaryDir及QTemporaryFile建立临时目录及文件夹     本文地址 ...