飘云阁求助脱Aspack变形壳 - Powered by Discuz! Archiver

夜冷风 发表于 2008-7-24 07:47:01

00402337 6A 00          push 0
00402339 E8 640A0000    call <jmp.&kernel32.GetModuleHandleA>
0040233E A3 D0544000    mov dword ptr ds:,eax
00402343 803D F7594000 00cmp byte ptr ds:,0

要在这里脱.才脱的完美!~/:017

playboysen 发表于 2008-7-24 18:26:47

灵活运用ESP定律，简单脱法如下：
OD载入后直接在左下角命令行处下断点 hr 0012FFA4
F9运行9次然后命令行处写hd 0012FFA4来取消断点
F8单步走过几下可以看到好多NOP，如下处
00410B16 90          NOP
00410B17 90          NOP
00410B18 90          NOP
00410B19 9C          PUSHFD
00410B1A 60          PUSHAD
00410B1B E8 00000000 CALL 作业.00410B20
在上面的call处下断hr 0012FFA0，F9运行一次即到OEP如下处
00410B7C 9D          POPFD
00410B7D EB 4E       JMP SHORT 作业.00410BCD

00410BCD- E9 EE16FFFF JMP 作业.004022C0
F8单步两次即可，脱壳Import修复

lyhong 发表于 2008-7-24 18:36:12

原帖由夜冷风于 2008-7-24 07:47 发表 https://www.chinapyg.com/images/common/back.gif
3501600402337 6A 00          push 0
00402339 E8 640A0000    call
0040233E A3 D0544000    mov dword ptr ds:,eax
00402343 803D F7594000 00cmp byte ptr ds:,0

...
还是不会,谁能详细点,还能做好附件啊~!

glts 发表于 2008-7-25 13:38:02

OD载入后入口为：
00419400 > /E9 00000000       jmp 作业.00419405
00419405 \60                pushad
00419406 61                popad
00419407 BA 44094100       mov edx,作业.00410944
0041940C 52                push edx
0041940D C3                retn
在命令行输入然后回车：

接着F9运行，F9－－－9次之后来到
00418602 9D                popfd
00418603 58                pop eax
00418604 5B                pop ebx
00418605 5F                pop edi
00418606 5E                pop esi
00418607 5E                pop esi
00418608 C3                retn          //F8执行到此行，然后返回到下面

0041095B /E9 5B010000       jmp 作业.00410ABB
00410960 |8DB5 BCFDFFFF    lea esi,dword ptr ss:
00410966 |8B06             mov eax,dword ptr ds:
00410968 |83F8 01          cmp eax,1
0041096B |0F84 4B020000    je 作业.00410BBC
00410971 |C706 01000000    mov dword ptr ds:,1
00410977 |8BD5             mov edx,ebp
00410979 |8B85 50FDFFFF    mov eax,dword ptr ss:
0041097F |2BD0             sub edx,eax
00410981 |8995 50FDFFFF    mov dword ptr ss:,edx
00410987 |0195 80FDFFFF    add dword ptr ss:,edx

再一次F9来到
00410B7C 9D                popfd
00410B7D EB 4E             jmp short 作业.00410BCD
00410B7F F4                hlt
00410B80 FD                std
00410B81 FFFF             ???                            ; 未知命令
00410B83 8BDD             mov ebx,ebp
00410B85 81EB 08000000    sub ebx,8
00410B8B 33C9             xor ecx,ecx

再F8单步走到
00410BCD- E9 EE16FFFF       jmp 作业.004022C0                      //这里就是去OEP，再F8单步之后就到了OEP了
00410BD2 8BB5 48FDFFFF    mov esi,dword ptr ss:
00410BD8 0BF6             or esi,esi
00410BDA 0F84 97000000    je 作业.00410C77
00410BE0 8B95 50FDFFFF    mov edx,dword ptr ss:
00410BE6 03F2             add esi,edx
00410BE8 833E 00          cmp dword ptr ds:,0

OEP：
004022C0 E8 970B0000       call 作业.00402E5C                ; jmp to COMCTL32.InitCommonControls
004022C5 E8 C60A0000       call 作业.00402D90                ; jmp to kernel32.GetCommandLineA
004022CA 8BF0             mov esi,eax
004022CC 6A 00             push 0
004022CE 68 B3534000       push 作业.004053B3                ; ASCII "silent"
004022D3 56                push esi
004022D4 E8 570D0000       call 作业.00403030
004022D9 A2 F7594000       mov byte ptr ds:,al
004022DE 6A 00             push 0

[ 本帖最后由 glts 于 2008-7-25 13:42 编辑 ]

小生我怕怕 发表于 2008-7-25 14:19:35

楼主在试下这个,我又处理了下,你试试现在是无壳的啦,怎么查都是无壳

playboysen 发表于 2008-7-25 16:51:18

原帖由 glts 于 2008-7-25 13:38 发表 https://www.chinapyg.com/images/common/back.gif
OD载入后入口为：
00419400 > /E9 00000000       jmp 作业.00419405
00419405 \60                pushad
00419406 61                popad
00419407 BA 44094100       mov edx,作业.004 ...

呵呵，英雄所见略同，不知道都说的这么详细了，他能不能看懂哦。没关系，不懂接着问o(∩_∩)o...

millerxie 发表于 2008-7-25 20:22:19

学习了
谢谢了

zhan1616 发表于 2008-8-7 21:14:42

在这里学了不少东西，不过还是新手，慢慢学，以后为飘云阁多做贡献！

学习了

页: 1 [2]

飘云阁's Archiver