用ollydbg手工脱ASPack212壳--IT学习网——资源丰富的计算机教程库




庞大资源库的计算机教程网站！

		设为首页加入收藏总编信箱
投稿或申请专栏请先 [登陆]

首页	┊操作系统	┊程序设计	┊图形图像	┊媒体动画	┊机械电子	┊WEB开发	┊数据库	┊办公系列	┊路由技术	┊网络原理	┊网络应用┊
	┊认证考试	┊安全技术	┊

		首页>安全技术>软件破解>脱壳技术>正文

资料搜索

Google搜索


	▍返回上级列表

用ollydbg手工脱ASPack212壳

作者：本站收集日期：2005-5-31

字号选择〖大中小〗/ 双击滚屏单击停止

使用工具：ollydbg、LordPE
脱壳对象：用ASPack212加壳的记事本程序
运行平台：win2k

脱ASPack212版压缩的程序方法：

01010374 EB 4A JMP SHORT NOTEPAD.010103C0
01010376 8907 MOV DWORD PTR DS:[EDI],EAX
01010378 8385 49050000 04 ADD DWORD PTR SS:[EBP+549],4
0101037F ^E9 32FFFFFF JMP NOTEPAD.010102B6
01010384 8906 MOV DWORD PTR DS:[ESI],EAX
01010386 8946 0C MOV DWORD PTR DS:[ESI+C],EAX
01010389 8946 10 MOV DWORD PTR DS:[ESI+10],EAX
0101038C 83C6 14 ADD ESI,14
0101038F 8B95 22040000 MOV EDX,DWORD PTR SS:[EBP+422]
0101038F 8B95 22040000 MOV EDX,DWORD PTR SS:[EBP+422]
01010395 ^E9 EBFEFFFF JMP NOTEPAD.01010285
0101039A B8 20640000 MOV EAX,6420====》此处移入EAX的其实就是入口值。
0101039F 50 PUSH EAX
010103A0 0385 22040000 ADD EAX,DWORD PTR SS:[EBP+422]====》程序入口地址01006420移入EAX。
010103A6 59 POP ECX
010103A7 0BC9 OR ECX,ECX
010103A9 8985 A8030000 MOV DWORD PTR SS:[EBP+3A8],EAX
010103AF 61 POPAD===》标志。
010103B0 75 08 JNZ SHORT NOTEPAD.010103BA
010103B2 B8 01000000 MOV EAX,1
010103B7 C2 0C00 RETN 0C
010103BA 68 00000000 PUSH 0====》程序运行到此处时，此处值将改变为入口地址值（见下面的代码）。
010103BF C3 RETN=====》返回程序入口处。应在此中断，然后单步到程序真正入口处，再DUMP。
010103C0 8B85 26040000 MOV EAX,DWORD PTR SS:[EBP+426]
010103C6 8D8D 3B040000 LEA ECX,DWORD PTR SS:[EBP+43B]
010103CC 51 PUSH ECX
010103CD 50 PUSH EAX
010103CE FF95 490F0000 CALL DWORD PTR SS:[EBP+F49]
010103D4 8985 55050000 MOV DWORD PTR SS:[EBP+555],EAX
010103DA 8D85 47040000 LEA EAX,DWORD PTR SS:[EBP+447]
010103E0 50 PUSH EAX
010103E1 FF95 510F0000 CALL DWORD PTR SS:[EBP+F51]
010103E7 8985 2A040000 MOV DWORD PTR SS:[EBP+42A],EAX

程序运行后：
01010395 ^E9 EBFEFFFF JMP NOTEPAD.01010285
0101039A B8 20640000 MOV EAX,6420
0101039F 50 PUSH EAX
010103A0 0385 22040000 ADD EAX,DWORD PTR SS:[EBP+422]
010103A6 59 POP ECX
010103A7 0BC9 OR ECX,ECX
010103A9 8985 A8030000 MOV DWORD PTR SS:[EBP+3A8],EAX
010103AF 61 POPAD=====》标志。
010103B0 75 08 JNZ SHORT NOTEPAD.010103BA
010103B2 B8 01000000 MOV EAX,1
010103B7 C2 0C00 RETN 0C
010103BA 68 20640001 PUSH NOTEPAD.01006420====》程序真正入口地址。
010103BF C3 RETN====>返回到程序真正入口处。
010103C0 8B85 26040000 MOV EAX,DWORD PTR SS:[EBP+426]
010103C6 8D8D 3B040000 LEA ECX,DWORD PTR SS:[EBP+43B]
010103CC 51 PUSH ECX
010103CD 50 PUSH EAX
010103CE FF95 490F0000 CALL DWORD PTR SS:[EBP+F49]
010103D4 8985 55050000 MOV DWORD PTR SS:[EBP+555],EAX
010103DA 8D85 47040000 LEA EAX,DWORD PTR SS:[EBP+447]
010103E0 50 PUSH EAX
010103E1 FF95 510F0000 CALL DWORD PTR SS:[EBP+F51]

程序跳到：
01006419 C2 0800 RETN 8
0100641C 33C0 XOR EAX,EAX
0100641E ^EB F5 JMP SHORT NOTEPAD.01006415
01006420 55 PUSH EBP====》此处为真正入口。
01006421 8BEC MOV EBP,ESP
01006423 6A FF PUSH -1
01006425 68 88180001 PUSH NOTEPAD.01001888
0100642A 68 D0650001 PUSH NOTEPAD.010065D0 ; JMP to msvcrt._except_handler3
0100642F 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
01006435 50 PUSH EAX

DUMP出来以后，修改入口点为00006420，然后重建PE。OK！（DUMP工具为LordPE）

上一篇：被加壳vb5/6程序的OEP定位经验下一篇：自由英语XP 1.0.脱壳

[发送给好友] [关闭窗口] [返回顶部] 转载请注明来源：www.it00.com


	特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。

	责任编辑：原点	投稿作者：本站收集
	信息来源：网络	录入时间： 2005-5-31

关于我们 - 广告服务 - 版权申明 - 网站地图 - 联系方式 - 总编信箱 - 会员投稿



		Copyright ©2005 - 2008 IT00.COM，All Rights Reserved