设为首页
加入收藏
联系我们
电脑入门 | 操作系统 | 工具软件 | 病毒安全 | 平面设计 | 媒体动画 | 网页制作 | 网络编程 | 数 据 库 | 服 务 器 | 程序设计 
认证考试 | 网管大全 | 站长CLUB | 游戏娱乐 | 机械电子 | 学院热门 | 热门源码 | 软件新闻 | 驱动下载 
您当前的位置:藏经阁资源站 -> 病毒安全 -> 软件破解 -> 脱壳技术 -> 教程内容 退出登录 用户管理
栏目导航
热门教程
· 劲舞团8K舞步 1.7最新舞步 魔神舞步
· [组图] 上网助手反间谍专家火热试用
· [组图] Win2000/XP/2003:系统万能Ghost全攻略
· [组图] Photoshop超酷海报效果
· [图文] 一分钟攻破ADSL 盗遍宽带密码1
· [组图] MATLAB 概 论
· AutoCAD二次开发语言及工具介绍
· [组图] Photoshop合成图:蛋壳-女孩
· [图文] 《仙剑奇侠传4》绝密情报 首度曝光
· [组图] 初学java常用开发工具介绍
· [图文] 将数码照片做成自动放映的Flash
· [图文] [常用]免费短信收发工具串串烧
· [图文] 《上古卷轴4》杂志扫描图抢先看
· 超全!Windows快捷键大全
· Pro/E 功能
· [组图] 用Pro/E画减速机渐开线斜齿圆柱齿轮的一般方法
· [组图] FLASH:《大话李白》创作全过程
· [组图] 使用Visual LISP创建简单的LISP应用程序
· 2004年计算机等级考试二级C语言试题及答案
· [图文] 信不信由你 KMPlayer隐藏着“雷电”
相关教程
· 用OLLYDBG给Win设置大师 脱壳
· 用OLLYDBG快速脱tElock V0.98的壳。
· 用ollydbg脱aspack2.12的壳
· 使用OllyDbg快速脱壳
· 用OLLYDBG快速脱tElock V0.98的壳
· 用ollydbg跟踪asproctect1.2加壳的软件
· 用ollydbg跟踪te!lock加壳的软件
· 应用olldbg脱telock加壳之菜鸟篇
· 用OLLYDBG跟踪Krypton v0.4加的壳
· 用OllyDbg脱ASPR 1.3x的壳
· 用Ollydbg手工脱壳之Pebundle2.3
· 用OllyDbg配合ollyDump手动脱壳
用ollydbg手工脱ASPack212壳
作者:佚名  来源:不详  发布时间:2005-5-31 14:36:30  发布人:admin

减小字体 增大字体

使用工具:ollydbg、LordPE
脱壳对象:用ASPack212加壳的记事本程序
运行平台:win2k

脱ASPack212版压缩的程序方法:


01010374 EB 4A JMP SHORT NOTEPAD.010103C0
01010376 8907 MOV DWORD PTR DS:[EDI],EAX
01010378 8385 49050000 04 ADD DWORD PTR SS:[EBP+549],4
0101037F ^E9 32FFFFFF JMP NOTEPAD.010102B6
01010384 8906 MOV DWORD PTR DS:[ESI],EAX
01010386 8946 0C MOV DWORD PTR DS:[ESI+C],EAX
01010389 8946 10 MOV DWORD PTR DS:[ESI+10],EAX
0101038C 83C6 14 ADD ESI,14
0101038F 8B95 22040000 MOV EDX,DWORD PTR SS:[EBP+422]
0101038F 8B95 22040000 MOV EDX,DWORD PTR SS:[EBP+422]
01010395 ^E9 EBFEFFFF JMP NOTEPAD.01010285
0101039A B8 20640000 MOV EAX,6420====》此处移入EAX的其实就是入口值。
0101039F 50 PUSH EAX
010103A0 0385 22040000 ADD EAX,DWORD PTR SS:[EBP+422]====》程序入口地址01006420移入EAX。
010103A6 59 POP ECX
010103A7 0BC9 OR ECX,ECX
010103A9 8985 A8030000 MOV DWORD PTR SS:[EBP+3A8],EAX
010103AF 61 POPAD===》标志。
010103B0 75 08 JNZ SHORT NOTEPAD.010103BA
010103B2 B8 01000000 MOV EAX,1
010103B7 C2 0C00 RETN 0C
010103BA 68 00000000 PUSH 0====》程序运行到此处时,此处值将改变为入口地址值(见下面的代码)。
010103BF C3 RETN=====》返回程序入口处。应在此中断,然后单步到程序真正入口处,再DUMP。
010103C0 8B85 26040000 MOV EAX,DWORD PTR SS:[EBP+426]
010103C6 8D8D 3B040000 LEA ECX,DWORD PTR SS:[EBP+43B]
010103CC 51 PUSH ECX
010103CD 50 PUSH EAX
010103CE FF95 490F0000 CALL DWORD PTR SS:[EBP+F49]
010103D4 8985 55050000 MOV DWORD PTR SS:[EBP+555],EAX
010103DA 8D85 47040000 LEA EAX,DWORD PTR SS:[EBP+447]
010103E0 50 PUSH EAX
010103E1 FF95 510F0000 CALL DWORD PTR SS:[EBP+F51]
010103E7 8985 2A040000 MOV DWORD PTR SS:[EBP+42A],EAX


程序运行后:
01010395 ^E9 EBFEFFFF JMP NOTEPAD.01010285
0101039A B8 20640000 MOV EAX,6420
0101039F 50 PUSH EAX
010103A0 0385 22040000 ADD EAX,DWORD PTR SS:[EBP+422]
010103A6 59 POP ECX
010103A7 0BC9 OR ECX,ECX
010103A9 8985 A8030000 MOV DWORD PTR SS:[EBP+3A8],EAX
010103AF 61 POPAD=====》标志。
010103B0 75 08 JNZ SHORT NOTEPAD.010103BA
010103B2 B8 01000000 MOV EAX,1
010103B7 C2 0C00 RETN 0C
010103BA 68 20640001 PUSH NOTEPAD.01006420====》程序真正入口地址。
010103BF C3 RETN====>返回到程序真正入口处。
010103C0 8B85 26040000 MOV EAX,DWORD PTR SS:[EBP+426]
010103C6 8D8D 3B040000 LEA ECX,DWORD PTR SS:[EBP+43B]
010103CC 51 PUSH ECX
010103CD 50 PUSH EAX
010103CE FF95 490F0000 CALL DWORD PTR SS:[EBP+F49]
010103D4 8985 55050000 MOV DWORD PTR SS:[EBP+555],EAX
010103DA 8D85 47040000 LEA EAX,DWORD PTR SS:[EBP+447]
010103E0 50 PUSH EAX
010103E1 FF95 510F0000 CALL DWORD PTR SS:[EBP+F51]

程序跳到:
01006419 C2 0800 RETN 8
0100641C 33C0 XOR EAX,EAX
0100641E ^EB F5 JMP SHORT NOTEPAD.01006415
01006420 55 PUSH EBP====》此处为真正入口。
01006421 8BEC MOV EBP,ESP
01006423 6A FF PUSH -1
01006425 68 88180001 PUSH NOTEPAD.01001888
0100642A 68 D0650001 PUSH NOTEPAD.010065D0 ; JMP to msvcrt._except_handler3
0100642F 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
01006435 50 PUSH EAX


DUMP出来以后,修改入口点为00006420,然后重建PE。OK!(DUMP工具为LordPE)
[] [返回上一页] [打 印] [收 藏]
∷相关教程评论∷    (评论内容只代表网友观点,与本站立场无关!) [更多评论...]
 
Copyright © 2000-2006 18839.Com. All Rights Reserved .
EMAIL:webmaster@18839.com 联系QQ:63191918 苏ICP备05065193号 带宽支持:三九互联