手脱ASPack v2.12
2024-08-29 00:15:55
1.PEID查壳提示为:
ASPack 2.12 -> Alexey Solodovnikov
2.载入OD,程序入口点是一个pushad,在他的下一行就可以进行ESP定律,下硬件访问断点然后shift+F9
> pushad ; //入口位置
E8 call QQ个性网.0043000A; //用ESP定律
- E9 EB045D45 jmp 45A004F7
0043000C push ebp
0043000D C3 retn
0043000E E8 call QQ个性网.
EB 5D jmp short QQ个性网.
3.ESP的落脚点,是一个向下跳转,单步F8跟下去,再F8一下就是一个retn,这里就是跳向OEP的地方了
004303B0 / jnz short QQ个性网.004303BA; //落脚点
004303B2 |B8 mov eax,0x1
004303B7 |C2 0C00 retn 0xC
004303BA \ D4124000 push QQ个性网.004012D4
004303BF C3 retn ; //这里跳向OEP
004303C0 8B85 mov eax,dword ptr ss:[ebp+0x426]
004303C6 8D8D 3B040000 lea ecx,dword ptr ss:[ebp+0x43B]
004303CC push ecx
004303CD push eax
4.来到OEP进行脱壳
004012D4 push QQ个性网.; //来到OEP
004012D9 E8 F0FFFFFF call QQ个性网.004012CE
004012DE add byte ptr ds:[eax],al
004012E0 add byte ptr ds:[eax],al
004012E2 add byte ptr ds:[eax],al
004012E4 xor byte ptr ds:[eax],al
004012E6 add byte ptr ds:[eax],al
004012E8 dec eax
5.查壳运行
OK,已经脱掉了
Microsoft Visual Basic v5.0/v6.0
最新文章
- TfS+强制删除签出锁定项
- ASP.NET的票据工具类FormsAuthenticationTicket
- linux常用命令详解 (一) 安装和登录命令
- Qt线程同步操作用QWaitCondition QMutex
- Mybatis(二)参数(Parameters)传递
- IIS配置文件上传大小限制
- BZOJ5084[hashit]
- go微服务框架go-micro深度学习(三) Registry服务的注册和发现
- Hi3536DV100 SDK 安装以及升级使用说明
- 从模板驱动文件ins生成cls文件
- 【DIOCP-DEMO说明】所有演示DEMO的简要说明
- jenkins不安装任何插件时,是什么样的
- 删除数据恢复数据语句 Oracle
- Pig store用法举例
- wc命令详解
- Linux操作系统(二)
- 3D MAX 人物骨骼建设
- 遇见Navicat 2003-can't connect to MYSQL server on 'localhost'(10061)
- python _/__/__**__区别
- Moodle配置