求助脱Aspack变形壳

夜冷风

00402337    6A 00             push 0
00402339    E8 640A0000       call <jmp.&kernel32.GetModuleHandleA>
0040233E    A3 D0544000       mov dword ptr ds:[4054D0],eax
00402343    803D F7594000 00  cmp byte ptr ds:[4059F7],0

要在这里脱.才脱的完美!~/:017

playboysen

灵活运用ESP定律，简单脱法如下：
OD载入后直接在左下角命令行处下断点 hr 0012FFA4
F9运行9次然后 命令行处写hd 0012FFA4来取消断点
F8单步走过几下可以看到好多NOP，如下处
00410B16    90              NOP
00410B17    90              NOP
00410B18    90              NOP
00410B19    9C              PUSHFD
00410B1A    60              PUSHAD
00410B1B    E8 00000000     CALL 作业.00410B20
在上面的call处下断hr 0012FFA0，F9运行一次即到OEP如下处
00410B7C    9D              POPFD
00410B7D    EB 4E           JMP SHORT 作业.00410BCD

00410BCD  - E9 EE16FFFF     JMP 作业.004022C0
F8单步两次即可，脱壳Import修复

lyhong

原帖由 夜冷风 于 2008-7-24 07:47 发表
3501600402337    6A 00             push 0
00402339    E8 640A0000       call
0040233E    A3 D0544000       mov dword ptr ds:[4054D0],eax
00402343    803D F7594000 00  cmp byte ptr ds:[4059F7],0

...

还是不会,谁能详细点,还能做好附件啊~!

glts

OD载入后入口为：
00419400 > /E9 00000000          jmp 作业.00419405
00419405   \60                   pushad
00419406    61                   popad
00419407    BA 44094100          mov edx,作业.00410944
0041940C    52                   push edx
0041940D    C3                   retn
在命令行输入然后回车：

接着F9运行，F9－－－9次之后来到
00418602    9D                   popfd
00418603    58                   pop eax
00418604    5B                   pop ebx
00418605    5F                   pop edi
00418606    5E                   pop esi
00418607    5E                   pop esi
00418608    C3                   retn              //F8执行到此行，然后返回到下面

0041095B   /E9 5B010000          jmp 作业.00410ABB
00410960   |8DB5 BCFDFFFF        lea esi,dword ptr ss:[ebp-244]
00410966   |8B06                 mov eax,dword ptr ds:[esi]
00410968   |83F8 01              cmp eax,1
0041096B   |0F84 4B020000        je 作业.00410BBC
00410971   |C706 01000000        mov dword ptr ds:[esi],1
00410977   |8BD5                 mov edx,ebp
00410979   |8B85 50FDFFFF        mov eax,dword ptr ss:[ebp-2B0]
0041097F   |2BD0                 sub edx,eax
00410981   |8995 50FDFFFF        mov dword ptr ss:[ebp-2B0],edx
00410987   |0195 80FDFFFF        add dword ptr ss:[ebp-280],edx

再一次F9来到
00410B7C    9D                   popfd
00410B7D    EB 4E                jmp short 作业.00410BCD
00410B7F    F4                   hlt
00410B80    FD                   std
00410B81    FFFF                 ???                               ; 未知命令
00410B83    8BDD                 mov ebx,ebp
00410B85    81EB 08000000        sub ebx,8
00410B8B    33C9                 xor ecx,ecx

再F8单步走到
00410BCD  - E9 EE16FFFF          jmp 作业.004022C0                         //这里就是去OEP，再F8单步之后就到了OEP了
00410BD2    8BB5 48FDFFFF        mov esi,dword ptr ss:[ebp-2B8]
00410BD8    0BF6                 or esi,esi
00410BDA    0F84 97000000        je 作业.00410C77
00410BE0    8B95 50FDFFFF        mov edx,dword ptr ss:[ebp-2B0]
00410BE6    03F2                 add esi,edx
00410BE8    833E 00              cmp dword ptr ds:[esi],0


OEP：
004022C0    E8 970B0000          call 作业.00402E5C                  ; jmp to COMCTL32.InitCommonControls
004022C5    E8 C60A0000          call 作业.00402D90                  ; jmp to kernel32.GetCommandLineA
004022CA    8BF0                 mov esi,eax
004022CC    6A 00                push 0
004022CE    68 B3534000          push 作业.004053B3                  ; ASCII "silent"
004022D3    56                   push esi
004022D4    E8 570D0000          call 作业.00403030
004022D9    A2 F7594000          mov byte ptr ds:[4059F7],al
004022DE    6A 00                push 0

[ 本帖最后由 glts 于 2008-7-25 13:42 编辑 ]

小生我怕怕

楼主在试下这个,我又处理了下,你试试现在是无壳的啦,怎么查都是无壳

playboysen

原帖由 glts 于 2008-7-25 13:38 发表
OD载入后入口为：
00419400 > /E9 00000000          jmp 作业.00419405
00419405   \60                   pushad
00419406    61                   popad
00419407    BA 44094100          mov edx,作业.004 ...

呵呵，英雄所见略同，不知道都说的这么详细了，他能不能看懂哦。没关系，不懂接着问o(∩_∩)o...

millerxie

学习了
谢谢了

zhan1616

在这里学了不少东西，不过还是新手，慢慢学，以后为飘云阁多做贡献！


学习了