ASPack 2.001 -> Alexey Solodovnikov脱壳方法记-黑客学堂-李露的博客

热门文章

新华字典词典2009注册码序列号破
使用VC自己动手编写加壳程序（1）—
黑鹰VIP破解视频教程（好东西）
使用VC自己动手编写加壳程序（3）—
使用VC自己动手编写加壳程序（5）—
使用VC自己动手编写加壳程序（6）—
使用VC自己动手编写加壳程序（4）—
使用VC自己动手编写加壳程序（2）—
天草破解班视频教程初级中级高级
ASPack 2.001 -> Alexey Solodov

当前位置：李露的博客 >> 黑客学堂 >> 浏览文章

ASPack 2.001 -> Alexey Solodovnikov脱壳方法记

更新日期：2009年02月28日来源：本站原创作者：天漏客访问次数：次【字体：大中小】

ASPack输入压缩壳，目前版本为2.12了，今天脱了下2.001的壳，比较简单。记录一下。用PEID查壳类型为：ASPack 2.001 -> Alexey Solodovnikov。

测试脱壳的软件下载地址：http://www.newhua.com/soft/11423.htm

这个软件叫：SetupDrive 1.0，是一个将文件夹转换为逻辑盘符的软件，方便打开文件夹。软件功能我们先不管它，它加的壳是ASPack 2.001 -> Alexey Solodovnikov。这个壳脱壳比较简单。可以采用单步跟踪法、ESP定律法、内存镜像法、POPAD查找法、SFX自解压法，TC模拟跟踪法我试了，好像没有成功！

1、单步跟踪法。

使用OD载入后，程序停在：

0040D001 > 60              pushad
0040D002    E8 72050000     call    0040D579
0040D007    EB 4C           jmp     short 0040D055
0040D009    0000            add     byte ptr [eax], al

按F8向下单步走，到0040D06F处，有个jnz没有实现。

0040D069    899D E0374400   mov     dword ptr [ebp+4437E0], ebx
0040D06F    0F85 68040000   jnz     0040D4DD
0040D075    8D85 E8374400   lea     eax, dword ptr [ebp+4437E8]

在此处，如果我们它实现，将会迅速达到OEP，比不实现要走的代码少很多。在此处，按enter键进入，然后按F4运行到所选。就会达到0040D4DD处，我们向下看。在0040D503处就返回到OEP了。所以非常快。

0040D4DD    8B85 4E2A4400   mov     eax, dword ptr [ebp+442A4E]
0040D4E3    50              push    eax
0040D4E4    0385 E0374400   add     eax, dword ptr [ebp+4437E0]
0040D4EA    59              pop     ecx
0040D4EB    0BC9            or      ecx, ecx
0040D4ED    8985 7B2E4400   mov     dword ptr [ebp+442E7B], eax
0040D4F3    61              popad
0040D4F4    75 08           jnz     short 0040D4FE
0040D4F6    B8 01000000     mov     eax, 1
0040D4FB    C2 0C00         retn    0C
0040D4FE    68 00000000     push    0
0040D503    C3              retn

到达OEP处后，代码有可能是如下形式：

00401408      68            db      68                               ; SFX 代码真正入口点
00401409      B8144000      dd      sudwin.004014B8
0040140D      E8            db      E8
0040140E      EE            db      EE
0040140F      FF            db      FF
00401410      FF            db      FF
00401411      FF            db      FF

此时，我们只需要在代码处点击鼠标右键，选择“分析”->“从模块中删除分析”，就会看到正常的代码了。

00401408    68 B8144000     push    004014B8                         ; SFX 代码真正入口点
0040140D    E8 EEFFFFFF     call    00401400                         ; jmp 到 msvbvm60.ThunRTMain
00401412    0000            add     byte ptr [eax], al
00401414    0000            add     byte ptr [eax], al

可以看出程序是用VB写的。在此处dump脱壳就可以了。

其他的脱壳方法，我就不记录了，因为没有什么特别的技巧了。

顶一下

ASPack

【发表评论】【告诉好友】【打印此文】【收藏此文】【关闭窗口】
上一篇:PEncrypt 3.1 Final -> junkcode与V4.0脱壳记录	下一篇:HA_LeapFTP2.7.6.613注册码追踪与破解过程记录