ASPack 2.12 压缩壳脱壳

ASPack 2.12 压缩壳脱壳前言:ASPack2.12脱壳笔记首先先查壳,如下图所示,可以看到的是ASPack2.12载入调试器中可以看到开头为PUSHAD,首先直接用ESP定律来进行尝试来到OEP的位置通过ESP定律来到如下的位置,堆栈观察起始一样,那么这里大概率就是OEP了接着将OEP为起始位置,将程序进行转

大家好,欢迎来到IT知识分享网。

前言:ASPack 2.12 脱壳笔记

首先先查壳,如下图所示,可以看到的是ASPack 2.12

ASPack 2.12 压缩壳脱壳

载入调试器中可以看到开头为PUSHAD,首先直接用ESP定律来进行尝试来到OEP的位置

ASPack 2.12 压缩壳脱壳

通过ESP定律来到如下的位置,堆栈观察起始一样,那么这里大概率就是OEP了

ASPack 2.12 压缩壳脱壳

接着将OEP为起始位置,将程序进行转储出来,尝试运行可以发现报错0xC0000005,看到C05的话,大概率就是IAT表或者重定位表的问题了

ASPack 2.12 压缩壳脱壳

因为在XP这里就直接忽略重定位的问题了,这里来看下IAT表的情况,如下图所示,可以确定是IAT表的问题,地址都直接被写成了函数地址,那肯定就会导致程序加载,操作系统无法填充IAT表了

ASPack 2.12 压缩壳脱壳

这里来进行修复,将壳程序(来到OEP的状态下),用importREC来进行修复,首先先定位当前的IAT表中的函数地址,如下图所示

这里会看到奇怪的部分,你会发现这个IAT表其中一部分不是填充的函数的地址

ASPack 2.12 压缩壳脱壳

引发上面的就如下几种情况,但是还是得具体问题具体分析

1、一种是壳程序故意进行破坏来干扰你,但这些其实就是没用的数据,这里的话可以直接来进行修复先,将没用的数据直接进行剔除即可

2、一种是壳程序原来部分的IAT表进行了重定向,这个时候就需要进行寻找修改重定向的位置让其取消修改,这样就能保证IAT的无损修复

3、还有一种的话就是本身就这样子,这里的话可以直接来进行修复先,将没用的数据直接进行剔除即可

第一个加载的DLL为user32.dll,所以这里可以确定第一个导入表就是user32.dll,起始地址为0040119C

ASPack 2.12 压缩壳脱壳

结束地址为0x401218

ASPack 2.12 压缩壳脱壳

那么其中IAT表的大小就是401218-40119C=7C,如下图所示

ASPack 2.12 压缩壳脱壳

这里先将其中间的数据当前干扰数据直接进行剔除,然后进行修复IAT表

ASPack 2.12 压缩壳脱壳

接着就是进行修正转储

ASPack 2.12 压缩壳脱壳

但是你运行该程序会发现还是有问题,如下图所示,你会发现0x00804000这个地址就是不存在的

ASPack 2.12 压缩壳脱壳

后面发现是importREC中OEP填错了,应该是00004000才对,然后重新修复下,重新运行,现在可以了,如下图所示

ASPack 2.12 压缩壳脱壳

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://yundeesoft.com/32278.html

(0)

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

关注微信