用OllyDbg脱ASPR 1.3x的壳

核心提示： 017F59348BC1MOV EAX,ECX设置断点后（F2），按F9（运行），用OllyDbg脱ASPR 1.3x的壳(3)，将会在断点上停下来，7. 为什么？？总是用F8 / F7追踪？？！！好吧…不！！Olly里有一个很好的功能：调用命令行，===第三步－找出抽掉的字

017F5934　8BC1　　　　　　MOV EAX,ECX　

设置断点后（F2），按F9（运行），将会在断点上停下来。　

7. 为什么？？总是用F8 / F7追踪？？！！　

好吧…不！！

Olly里有一个很好的功能：调用命令行。　

从菜单里选择：Plugins->Command line->Command line　

现在我们将写一个条件追踪命令！　

YES ! Olly有一个追踪命令！它调用－TC－条件追踪

它将会在条件表达式为真时中断！　

这样…在文本框里写入：TC EIP<900000　

按Enter键。

在窗口的右下会出现：“正在追踪”　

我的机子慢，花了大约８分钟(350MHz)　

在另一台较快的机子上花了２分钟多一点(900MHz Celeron)　

8. 追踪完成后中断在这里：　

　0057EA5B　　E8　　　　　　DB E8　
　0057EA5C　　00　　　　　　DB 00　
　0057EA5D　　8A　　　　　　DB 8A　
　0057EA5E　　E8　　　　　　DB E8　
　0057EA5F　　FF　　　　　　DB FF

嘿！！　i Dont See Shit !!这是为什么？！　

噢，Olly没有分析这段代码，实际上我们并没有真提停在OEP上！　

OEP=57EA5B　

9. 重点！！ 在OEP处看盾EAX值（CPU窗口的右上面）　

EAX=57E318　

记住它，以后会用到它的。　

10. 打开 ProcDump/Pe-Edit，完全抓取进程。

===================================　

第三步－找出抽掉的字节＝　

===================================　

找出抽掉的字节有三种方法：

1. ASPR会执行抽掉的字节，象下面这样跳转到OEP：　

　Stolen_Bytes_1　
　Stolen_Bytes_2　
　Stolen_Bytes_3　
　.....　
　.....　
　PUSH_THE_ADDRESS_OF_OEP　
　RET_TO_OEP

2. ASPR首先保存抽掉的字节，然后从OEP处还原，再象下面这样跳转到OEP：