第26课 asprotect脱壳系列
[例 1]chap707 asprotect0.94b加壳
用脱壳最基本的方法――esp硬件断点法很快来到这里
push eax eax=442B98
retn
由retn返回即来到入口点oep,oep等于442B98。
用ollydump插件dump转储程序,注意“重建输入
表
关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf
”选项不要打对勾,因为asprotect这个壳比较复杂,我们需要用import reconstructor重建输入表。
注意:oep输入42b98,点IAT AutoSearch按钮;然后,点Get Imports按钮 ,
再点右上方的show invalid按钮。如图:
231个指针没有认出来,不要惊慌,莫要害怕。如图,右键选取1级修复。
修复后结果如下:
接着,show invalid,选取2级、3级修复,可是很郁闷,这一个还是没有解决掉,还是1个。
关于asprotect的插件还很多,我们逐个试吧。asprotect#1无效果,asprotect#2亦无效。
所有的均无效。
于是,只能猜函数了:
如上图:这之间的出名的函数不多,我们最容易想到的就是跟壳密切相关的一个著名函数
GetProcAddress,双击指针,如下图,在弹出的窗口中选取GetProcAddress,点ok即可
至此,全部指针修复成功。
点Fix Dump按钮,选中刚才dump的文件即可。
脱壳成功!
[例 2]unpackme asprotect1.23RC1加壳
Olly载入目标程序,“调试选项”中,忽略内存异常打上勾,其余全部不打勾。如图:
F9运行,出现异常,shift+F9 16次后程序运行。
故重新载入程序,F9运行,出现异常,shift+F9 16-1=15次后来到这里。
00E22CD1 3100 xor dword ptr ds:[eax],eax
00E22CD3 64:8F05 00000000 pop dword ptr fs:[0]
00E22CDA 58 pop eax
00E22CDB 833D 7C6DE200 00 cmp dword ptr ds:[E26D7C],0
00E22CE2 74 14 je short 00E22CF8
00E22CE4 6A 0C push 0C
00E22CE6 B9 7C6DE200 mov ecx,0E26D7C
00E22CEB 8D45 F8 lea eax,dword ptr ss:[ebp-8]
00E22CEE BA 04000000 mov edx,4
00E22CF3 E8 54E1FFFF call 00E20E4C
00E22CF8 FF75 FC push dword ptr ss:[ebp-4]
00E22CFB FF75 F8 push dword ptr ss:[ebp-8]
00E22CFE 8B45 F4 mov eax,dword ptr ss:[ebp-C]
00E22D01 8338 00 cmp dword ptr ds:[eax],0
00E22D04 74 02 je short 00E22D08
00E22D06 FF30 push dword ptr ds:[eax]
00E22D08 FF75 F0 push dword ptr ss:[ebp-10]
00E22D0B FF75 EC push dword ptr ss:[ebp-14]
00E22D0E C3 retn
以上红色所示的都是标志性的语句。
这里就离入口点oep不远了,在E22D0E行下断,如图:
Shift+F9运行,被拦,取消断点,点一下F8,来到下面:
我们该复习以前学过的方法了。
(1)内存断点法:
察看内存
对code段设置访问中断
F9运行,到站!
显然,可以看出,没有偷窃字节(stolen byte)。入口点的oep=4271B0。
用ollydump插件dump转储程序,注意“重建输入表”选项不要打对勾,因为asprotect这个壳比较复杂,我们需要用import reconstructor重建输入表。
下面,用import reconstructor重建输入表。
由于例1讲得比较详细,这里就大概说说了。
304个无效指针。右键选取1级修复。
还剩7个无效指针。用下图所示Asprotect1.22插件可以全部修复
如图:
Fix Dump即可
浙公网安备 33021202002483