用ollydbg脱aspack2.12的壳
2007-01-12 20:12:56 来源:WEB开发网核心提示:首先, 用aspack2.12把记事本加壳, 用PEiD看了一下, 说是"ASPack 2.x modified - DAMN". 呵呵.打开Ollydbg, 加载notepad.exe, 弹出一个对话窗. 不用管他, 按确定. 接着弹出另一个对话窗告诉你程序可能被压缩过, 是否继续, 还是按确定按
首先, 用aspack2.12把记事本加壳, 用PEiD看了一下, 说是"ASPack 2.x modified - DAMN". 呵呵.
打开Ollydbg, 加载notepad.exe, 弹出一个对话窗. 不用管他, 按确定. 接着弹出另一个对话窗告诉你程序可能被压缩过, 是否继续, 还是按确定按钮.
程序停在入口处, 按F8单步执行:
01010001 > 60 PUSHAD //入口
01010002 E8 03000000 CALL notepad.0101000A //进去, 过了这个Call程序就执行了
01010007 -E9 EB045D45 JMP 465E04F7
0101000C 55 PUSH EBP
0101000D C3 RETN
0101000E E8 01000000 CALL notepad.01010014
0101000A 5D POP EBP
0101000B 45 INC EBP ; notepad.01010007
0101000C 55 PUSH EBP
0101000D C3 RETN
0101000E E8 01000000 CALL notepad.01010014 //进去~
一路F8, 直到:
0101012D 0BC9 OR ECX,ECX
0101012F 74 2E JE SHORT notepad.0101015F
01010131 78 2C JS SHORT notepad.0101015F
01010133 AC LODS BYTE PTR DS:[ESI]
01010134 3C E8 CMP AL,0E8
01010136 74 0A JE SHORT notepad.01010142
01010138 EB 00 JMP SHORT notepad.0101013A
0101013A 3C E9 CMP AL,0E9
0101013C 74 04 JE SHORT notepad.01010142
0101013E 43 INC EBX
0101013F 49 DEC ECX
01010140 ^EB EB JMP SHORT notepad.0101012D
01010142 8B06 MOV EAX,DWORD PTR DS:[ESI]
01010144 EB 00 JMP SHORT notepad.01010146
01010146 803E 07 CMP BYTE PTR DS:[ESI],7
01010149 ^75 F3 JNZ SHORT notepad.0101013E
0101014B 24 00 AND AL,0
0101014D C1C0 18 ROL EAX,18
01010150 2BC3 SUB EAX,EBX
程序在这里循坏, 我们可没时间等, 看来最远的地方就是0101015F, 在0101015F按F2下断, F9跳过后继续疯狂的F8:
更多精彩
赞助商链接