ASPack的脱壳
下面给大家说一下压缩壳的脱壳
简单说下概念
加壳:其实是利用特殊的算法,对EXE、DLL文件里的资源进行压缩。类似WINZIP 的效果,只不过
这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。
脱壳:是完全破除压缩后软件无法编辑的限制,去掉头部的解压缩指令,然后解压出加壳前的完
整软件。
加壳工具通常分为压缩壳和加密壳两类
压缩壳的特点是减小软件体积大小,加密保护不是重点。
加密壳种类比较多,不同的壳侧重点不同,一些壳单纯保护程序,另一些壳提供额外的功能,如
提供注册机制、使用次数、时间限制等。
例子:
1.ASPack加壳工具
对任意一exe加壳
2.peid查壳工具
检测到aspack加壳
正常
加壳后
3.ollydbg调试工具
pushad指令压入寄存器,按一下F7,到下一行,看寄存器ESP的值。
命令行窗口下——输入hr 0018FF6C——回车——调试——硬件断点——运行
跳转实现后——调试——硬件断点——删除——F7到push——两次F7到入口
(跳转跨度很大。说明壳的代码前面执行完成,现在跳转来执行真正的代码了)
选择对应地址——打开脱壳调试进程——默认脱壳——检测exe——壳消失了