ASPack的脱壳

华盟原创文章投稿奖励计划

         ASPack的脱壳

  下面给大家说一下压缩壳的脱壳

  简单说下概念

  加壳:其实是利用特殊的算法,对EXE、DLL文件里的资源进行压缩。类似WINZIP 的效果,只不过

  这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。

  脱壳:是完全破除压缩后软件无法编辑的限制,去掉头部的解压缩指令,然后解压出加壳前的完

  整软件。

  加壳工具通常分为压缩壳和加密壳两类

  压缩壳的特点是减小软件体积大小,加密保护不是重点。

  加密壳种类比较多,不同的壳侧重点不同,一些壳单纯保护程序,另一些壳提供额外的功能,如

  提供注册机制、使用次数、时间限制等。

  例子:

  1.ASPack加壳工具

  对任意一exe加壳

ASPack的脱壳

  2.peid查壳工具

  检测到aspack加壳

ASPack的脱壳

正常

ASPack的脱壳

加壳后

  3.ollydbg调试工具

ASPack的脱壳

  pushad指令压入寄存器,按一下F7,到下一行,看寄存器ESP的值。

ASPack的脱壳

ASPack的脱壳

  命令行窗口下——输入hr 0018FF6C——回车——调试——硬件断点——运行

ASPack的脱壳

ASPack的脱壳

  跳转实现后——调试——硬件断点——删除——F7到push——两次F7到入口

  (跳转跨度很大。说明壳的代码前面执行完成,现在跳转来执行真正的代码了)

ASPack的脱壳

ASPack的脱壳

  选择对应地址——打开脱壳调试进程——默认脱壳——检测exe——壳消失了

ASPack的脱壳

ASPack的脱壳

原文地址:https://hack.77169.com/201512/221865.shtm

本文原创,作者:华盟君,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/html/19185.html

发表评论