WEB开发网
开发学院网络安全黑客技术 aspr脱壳总结 阅读

aspr脱壳总结

 2007-01-12 20:13:08 来源:WEB开发网   
核心提示:aspr脱壳总结(部分适用于其他壳保护)首先,能用caspr脱的尽量用它吧,aspr脱壳总结,方便,比手动脱的要小,这个用ti找到入口,在入口处dump,caspr解决不了的那就自己来吧,脱aspr壳基本上分4步

aspr脱壳总结(部分适用于其他壳保护)

首先,能用caspr脱的尽量用它吧,方便,比手动脱的要小,caspr解决不了的那就自己来吧。

脱aspr壳基本上分4步,如下:

1.寻找入口:

(1)delphi:

快速寻找入口的方法:执行程序,用prodump选dump(full)脱壳,存为dump.exe。接着用winhex打开dump.exe,选择搜索文本,填runtime,执行搜索,搜到后,向前找到离runtime最近的机器码为55 8B EC的地方就是程序的oep,所以delphi程序的oep最好找了。所以用aspr保护delphi程序的话会使aspr的保护能力减弱一半,入口太好找了。不过delphi程序的crc保护强悍,胜过aspr保护包括winhex9.x,wincmd4.54,tag&rename1.9x,iptools1.xx,host-mon1.3x,其中后两个我还没有搞定,谁知道的话麻烦告诉我一声。

脱壳详情请参考我最近写的

注册Tag&Rename v.1.9.6

注册Tag&Rename v2.0 beta 1

注册Advanced Ra-Renamer v.1.2

脱ASProtect1.2的壳

脱ASPack 2.11的壳

(2)vb:

快速寻找入口的方法:执行程序,用prodump选dump(full)脱壳,存为dump.exe。接着用winhex打开dump.exe,选择搜索文本,填程序的名字,执行搜索,搜到后,向前找到离名字最近的机器码为68(后面就不一定了,一般很短,不超过20h字节)开头的地方就是程序的oep,所以vb程序的oep也比较好找。只是用asp express压了一下看看,没做更多测试,不好多说啦。

(3)vc:

无任何规律,慢慢跟吧:(。手动脱壳方法最好熟练掌握,对付任何程序都应该有效吧:),熟悉以后就没问题了。

脱壳详情请参考我刚写的写的

脱壳IglooFTP PRO v3.0的详细过程

(4)其他:

没试过,不知道了。

2.脱壳:

最好要从入口处dump,如果不是从入口dump的,一般不能用。再有用prodump dump的程序,需要手动把op改成正确的。用天意,trw或peditor dump的程序稍大。其中天意在我的winme系统下用suspend死机,所以极少用,peditor dump出的程序超大,trw选在入口dump的可以免去手动改ep的麻烦,好像跟prodump脱出来的没区别,就是大了一点。喜欢用哪个看着办吧,caspr脱出来的最小,还有一个叫rad_v06的软件,没试过不太清楚了。再有其他的我就不知道了。

3.重建import table:

慢工,运气好的话ImportREC自己就能搞定,一般都有一部分需要自己找。需要的专业知识太多了,这方面是我的弱项呀。

4.脱壳后正常运行:

具体情况具体分析,多数情况下不能正常运行,一般是地址错误引起的,需要和未脱壳的版比较,再修改。

这里回复一下大师们前面的回贴。hying大哥的回贴,我在这次的"1.寻找入口:"已作了解释。blowfish大虾的回贴,说实话看不明白,是由于我的相关知识太贫乏了吧,慢慢学不着急啦。

最后再谈一下aspack的壳,这个用ti找到入口,在入口处dump,重建import table一般就可正常运行了。

Tags:aspr 脱壳 总结

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接