欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

關(guān)于ASPack 2.12加殼軟件的脫殼方法[圖文]

  發(fā)布時間:2012-07-31 12:01:24   作者:佚名   我要評論
其實ASPack 2.12是比較簡單的東西,可以說,很大程度上,它可以對程序的大小進行壓縮,方便發(fā)布
其實ASPack 2.12是比較簡單的東西,可以說,很大程度上,它可以對程序的大小進行壓縮,方便發(fā)布。今天從實際的例子來說說如何進行手脫ASPack 2.12 殼。當然,所謂的手脫,不是說完全靠手工, 我們還需要一定的工具,首先是PEiD,大家可以在腳本之家上下載到,主要用于查殼的一種小工具。
第二個就是動態(tài)調(diào)試工具OD(ollydbg),這個工具同樣可以自己再網(wǎng)絡(luò)上找到下載。
我們以一個ascii轉(zhuǎn)換的小工具為例子。因為剛剛好是用aspack加的殼。所以我們就拿它開刀。

點擊查看原圖

 

上圖是軟件的界面,這個時候的軟件大小是846 KB (866,816 字節(jié))是不是感覺很小呢?我們用peid進行查看殼。

 

點擊查看原圖

 

可以清晰的看到是aspack的殼吧。而且還有版本,我們使用OD打開它。對于是否繼續(xù)分析,我們點否就可以。然后我們就可以看到下面類似的代碼。

點擊查看原圖

 

我們可以看到入口是停止了pushad,也就是寄存器壓統(tǒng)一入棧操作。那么我們就可以輕松的使用所謂的ESP定律來搞定了。按一下F7,到下一行,看寄存器窗口。里面的ESP的值 。

 

點擊查看原圖

 

看到ESP寄存器是紅色的了。我們copy對應(yīng)的0012FFA4,到我們的命令行窗口下硬件斷點。

 

硬件斷點就是hr ,然后加上我們剛剛copy的地址,然后回車,這個時候我們可以再菜單的。調(diào)試》硬件斷點 中看到我們設(shè)置的硬件斷點了。

 

點擊查看原圖

 

設(shè)置好斷點后,我們直接按F9運行程序,它會在斷點處停下來。大致的位置看截圖
點擊查看原圖

  

好,我們可以高興的看到,發(fā)生了jnz,就是不等于0就跳轉(zhuǎn),而且是紅色的方向向下跳轉(zhuǎn)。紅色代表跳轉(zhuǎn)已經(jīng)實現(xiàn),方向是向下,就是到了地址為006AF3BA的地方,然后這個地 方push壓入一個地址,通過retn方式返回。我們這個時候刪除硬件斷點。方法是調(diào)試》硬件斷點 選擇刪除我們剛剛hr命令添加的硬件斷點。然后我們按F7單步就到了push 這個壓棧的地方。然后我們在 按兩次F7單步執(zhí)行。就到了

點擊查看原圖  

 

看到這個地方,如果你調(diào)試比較多的話,一定明白這個就是入口了。首先你看地址,跳轉(zhuǎn)跨度很大。說明殼的代碼前面執(zhí)行完成,現(xiàn)在跳轉(zhuǎn)來執(zhí)行真正的代碼了。而且這個代碼 是典型的vc的編譯出現(xiàn)的匯編代碼。在地址00422240的地方,我們選擇右鍵,選擇用ollydump脫殼調(diào)試進程。彈出如下的界面

  

點擊查看原圖

方式隨便選擇。我默認,我們直接點擊脫殼按鈕,然后取一個脫殼完成的exe名稱就可以了。然后我們來查看是否脫殼成功,使用我們的peid進行查殼。具體效果如下圖所示
點擊查看原圖

  

我們可以看到真正的語言了。和編譯器的版本。然后我們再運行我們脫殼后的程序,如果正在運行就說明一切OK了。

當然如果無法運行我們就需要使用修復(fù)工具對脫殼后的程序就行修復(fù)操作,常用的修復(fù)工具是Import Fix 1.6。大家自己可以再網(wǎng)絡(luò)上下載到。修復(fù)我就不說啦,因為這個脫殼后正常運行了。就沒有必要修復(fù)了。我們再看一下程序的大小3.17 MB (3,331,584 字節(jié))看到了吧,這個殼的壓縮能力驚人 呀呵呵。所以總的來說這個殼可以定性為壓縮殼而非加密殼。因為程序大小變小是它主要目的吧。


好了,廢話一大堆,就筆記到這里吧。這個可以說是所有脫殼課程里面的最基礎(chǔ)的東西,類似我們寫c語言時候的hello world。但是麻雀雖小五臟俱全嘛。只要努力你一定可以 成為大牛。路漫漫其修遠兮,吾將上下而求索。

相關(guān)文章

最新評論