menu 牢记自己是菜
二.手动进行AsPack脱壳
777 浏览 | 2020-03-16 | 阅读时间: 约 3 分钟 | 分类: 二进制脱壳 | 标签:
请注意,本文编写于 879 天前,最后修改于 879 天前,其中某些信息可能已经过时。

0x1 AsPack壳的介绍

AsPack是高效的Win32可执行程序压缩工具,能对程序员开发的32位Windows可执行程序进行压缩,使最终文件减小达70%!针对ASPACk所开发的脱壳工具软件也有许多,包括ASPACK ATRIPPER 、ASPACKDIE 、ASPROTECT等 .
AsPack v2.12是一款非常好的Win 32Bit PE 格式可执行文件压缩软件,使用非常方便,而且操作很快捷。以往的压缩工具,通常是将电脑中的资料或文档进行压缩,用来缩小储存空间,但是压缩后就不能再运行了,如果想运行必须解压缩。另外当你的系统中无压缩软件时,你的压缩包即无法解开。而 ASPack 的独特就在这里,ASPack 是专门对 WIN32 可执行程序进行压缩的工具,压缩后程序能正常运行,丝毫不会受到任何影响。而且即使你已经将 ASPack 从系统中删除,曾经压缩过的文件仍可正常使用。内置多种语言,包括简体中文。(来自百度百科)
总而言之,Aspack壳也是压缩壳的一种,与UPX一样,脱壳的过程只能算是解压的过程,不能算是解密的过程。所以有很多自动化软件脚本就可以升任这个任务。但是本着学习的态度,还是好好用手研究一下这些脱壳方法。


0x2 手动脱壳的六种方法

方法一,二,三与四与UPX的四种方法基本类似,他们分别是单步追踪,ESP定率,一步直达,2次内存镜像。与之前的脱壳准备工作一样,找一个之前re时留下的Win32程序,自己加壳,查壳,拖入OD。


这里说一下单步追踪与UPX不同的地方,就是在Aspack壳中,单步进行步进的时候很有可能遇见CAll函数,这时候我们需要使用F4单步跟进CAll函数,而不是F8,这个地方使用F8会直接导致程序跳飞,进入程序,无法找到程序的入口点。(也不是所有的call都需要步入)

方法五:模拟追踪法
这个是一个Aspack独立的方法,但是这种方法已经有点脱离手动的范畴了。主要时使用的命令行的自动追踪,tc eip<地址。这个过程十分的缓慢,不是一个好方法。

方法六:SFX法
如果说方法五是一个半自动的方法,那这个方法就是一个全自动的方法。但是这个方法我没有实践成功,我不太清楚是我的OD问题,还是教程有些许过时。这里就不仔细说这个方法的具体步骤了。

结果


0x3 小结

这次的壳与上次的壳基本没什么区别,所以文章篇幅比较短。两次手动脱壳下来,感觉每种方法都有他们自己的特点,但是USP法是最稳定,相对最简单的方法,所以以后还是多多使用这个方法吧。虽然上次的比赛还有很多题没有搞懂,但是这个专题还是准备一每周一种的方式继续学习下去。毕竟自己开的坑,跪着也要填完。╮(╯▽╰)╭

发表评论

email
web

全部评论 (暂无评论)

info 还没有任何评论,你来说两句呐!

Emoji

Warning: file_get_contents(): SSL operation failed with code 1. OpenSSL Error messages: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed in /www/wwwroot/116.62.100.243/usr/themes/Cuckoo-master/includes/owo.php on line 47

Warning: file_get_contents(): Failed to enable crypto in /www/wwwroot/116.62.100.243/usr/themes/Cuckoo-master/includes/owo.php on line 47

Warning: file_get_contents(https://ljzjsc.com/usr/themes/Cuckoo-master/assets/json/owo.json): failed to open stream: operation failed in /www/wwwroot/116.62.100.243/usr/themes/Cuckoo-master/includes/owo.php on line 47

Warning: array_keys() expects parameter 1 to be array, null given in /www/wwwroot/116.62.100.243/usr/themes/Cuckoo-master/includes/owo.php on line 49

Warning: file_get_contents(): SSL operation failed with code 1. OpenSSL Error messages: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed in /www/wwwroot/116.62.100.243/usr/themes/Cuckoo-master/includes/owo.php on line 88

Warning: file_get_contents(): Failed to enable crypto in /www/wwwroot/116.62.100.243/usr/themes/Cuckoo-master/includes/owo.php on line 88

Warning: file_get_contents(https://ljzjsc.com/usr/themes/Cuckoo-master/assets/json/owo.json): failed to open stream: operation failed in /www/wwwroot/116.62.100.243/usr/themes/Cuckoo-master/includes/owo.php on line 88

Warning: array_keys() expects parameter 1 to be array, null given in /www/wwwroot/116.62.100.243/usr/themes/Cuckoo-master/includes/owo.php on line 90