本文介绍以下 Aspack 修复 IAT 的步骤。 请出 Peid 进行查看,查壳的结果是“什么也没发现”。...换一个查壳工具接着查壳,用 Detect it Easy 0.64 查壳结果是 “Aspack2.12” 的壳。Aspack 的壳是压缩壳,是非常好脱的一个壳。...我们较为详细的分析了对 ASPACK2.12 的脱壳过程,和脱壳后对导入表的修复过程。希望大家能够举一反三,从中学到更多的知识。...注:文章时很久以前写的,crackme 文件已经找不到了,自己用 Aspack 压缩后测试即可。
脱壳第一讲,手工脱壳ASPack2.12的壳.ESP定律 一丶什么是ESP定律 首先我们要明白什么是壳.壳的作用就是加密PE的....二丶利用工具脱掉ASPACK2.12的壳 首先,我们找一个带壳的工具,利用PEID查壳.查看是什么壳. ? OD附加进程. ?...这个地方则是出来的地方,那么ASPack的壳有一个特征,就是出来之后会跳转,然后有两个ret 因为程序是32位程序,所以我们要放到32位的虚拟机里面去脱壳.
加壳工具的使用 0x01 前言 0x01 加壳简介 0x02 ASPack加壳 0x03 PE-Armor加壳 0x01 前言 这是我对加壳工具的使用的学习记录。...2.常见到的压缩壳有“UPX”、“北斗程序压缩”、“ASPack”等,加密壳有“PE-Armor”、“ASProtect”等等。...0x02 ASPack加壳 1.在被控制端,安装瑞星杀毒软件,使用瑞星查杀冰河木马、灰鸽子木马、msf生成的木马和Rootkit生成的木马,能够看到灰鸽子木马、msf生成的木马被查杀。...2.在控制端安装ASPack加壳软件,对这四个木马进行加壳,加壳后会生成备份的。 3.将加壳的木马共享给被控制端,控制端再使用瑞星查杀,发现两个木马并查杀,有两个未检测出来。
=%1 -o %1 %1.o %1 五、编译运行 J2E HelloGCJ 可以看到后成了HelloGCJ.o和HelloGCJ.exe文件,不过这个文件巨大,有8,883,481字节,比较恐怖:)用ASPack...压缩一下,压缩率可以达到22%,剩下1,984,512字节,ASPack的压缩力倒是很强:) ======================================================...有了 第五步、编译运行 J2E HelloGCJ 同样是可以看到后成了HelloGCJ.o和HelloGCJ.exe文件,不过这个文件比刚才用4.02编译的要小很多,才5,167,559字节,我们再用ASPack...结果:在我的Windows 2000 ADS上面用4.02或3.4编译的或者编译后并ASPack过的都可以运行。...但是,在Windows 98 SE上面用4.02编译的或者编译后并ASPack过的都不能够运行!!! 所以,大家要用哪个版本自己选择。
而自动就是用专门的脱壳工具来脱,最常用某种压缩软件都有他人写的反压缩工具对应,有些压缩工具自身能解压,如UPX;有些不提供这功能,如:ASPACK,就需要UNASPACK对付,好处是简单,缺点是版本更新了就没用了...: 用的最多,但只要用UNASPACK或PEDUMP32脱壳就行了 (2)ASProtect+aspack:次之,国外的软件多用它加壳,脱壳时需要用到SOFTICE+ICEDUMP,需要一定的专业知识...5.常见的壳脱法 (一)aspack壳 脱壳可用unaspack或caspr 1.unaspack ,使用方法类似lanuage,傻瓜式软件,运行后选取待脱壳的软件即可....使用方法类似fi 优点:可以脱aspack任何版本的壳,脱壳能力极强缺点:Dos界面。...第二种:将aa.exe的图标拖到caspr.exe的图标上***若已侦测出是aspack壳,用unaspack脱壳出错,说明是aspack高版本的壳,用caspr脱即可。
加壳压缩 使用比如 UPX,ASPack 等加壳工具对可执行程序进行压缩。...但是实际发现,在 EXE 文件特别小时,比如像上面已经精简到 3584 字节后,再使用 ASPack 工具压缩会反而令 EXE 文件更大。
名称介绍:hacker cracker honke 木马:灰鸽子、黑洞、PcShare rootkit 工具:ntroorkit IPC$: 命名管道 加壳: UPX、ASPack、Pepack、PECompact
压缩壳:upx ,aspack ,fsg ,pecompach 加密壳:ASProtect ,Armadillo(穿山甲),EXEcryptor,Themida,ZProtect 虚拟机壳:VMProtect...接下来我们将使用不同的方法来脱几个常见的壳(UPX,Aspack,FSG,PECompact) ----------------------------------------------------...1.首先我们使用OD载入附件中的【Aspack.exe】程序,然后会看到以下代码,第一条指令是Pushad,发现第一条命令是它,就能使用ESP定律搞。
ASprotect 2.1 reg ( www.aspack.com/asprotect.htm ) only exe files DLL files detect as ASpack 013...Generic check – Aspack v2.1x -> Alexey Solodovnikov 037. Aspack v2.12b?...ASprotect 1.1c old version ( www.aspack.com/asprotect.htm ) 080....ASprotect 2.3 SKE ( www.aspack.com/asprotect.htm ) 25% 212....Aspack v2.0/2.001 -> Alexey Solodovnikov – www.aspack.com 308.
最常见的加壳软件有ASPACK,UPX,PE compact等等。 其中查壳工具有language.exe、PEid等等。...在这里我就不赘述其他方法了,可以参考http://www.cnblogs.com/einyboy/archive/2012/05/19/2508696.html 其中AspackDie.exe是一种针对ASpack
一步直达法 适用于大部分的UPX壳和aspack壳 进入程序时为pushed进栈命令,需要查找对应的出栈命令。 CRRL+F查找popad出栈命令,然后运行到该位置。单步进入跳转位置。 ?
Windows\StartMenu\Programs\Startup https://www.winrar.com.cn/ winrar下载地址 3、简单做一下木马免杀 我们选取的加壳软件是ASPack
1.脱 Aspack 脚本 // 脱 Aspack 壳的脚本 findop eip,#61# // 查找popad bphws $RESULT,"x" // 返回查找到的地址
常见的壳 UPX、ASPack、Petite、WinUpack(Upack)、Themida 脱壳exe和dll的区别 DLL中的OEP是DllMain原始函数的开始地址,加壳DLL列出的开始地址是脱壳存根中的一个地址
将原本可执行文件中的代码和数据进行压缩,然后将解压缩用的代码附加在前面;运行的时候先将原本的可执行数据解压缩出来,然后再运行解压缩后的数据 常见打包器: UPX:https://upx.github.io/ ASPack...:http://www.aspack.com/ 例子: #include #include int main(int argc, char *argv[]
目前较常用的壳有UPX、ASPack、PePack、PECompact和UPack等。
: check_armadillo.asm – added Armadillo v6.40 and v6.60 – v7.00 (or newer) detection – new: check_aspack.asm...– added ASPack v2.2 detection – new: check_asprotect.asm – added ASProtect v1.4 build 04.01 Beta detection...one more generic check – improved: check_asdpack.asm – scanning speed optimizations – improved: check_aspack.asm...zip etc reporting) – new: added in quick detection for starforce protected pdf file – update: check_aspack.asm...– added additional check for ASPack 2.x to avoid a false positive when scanning a file wrapped by FlashBack
文章目录 前言 UPX 技术原理 应用范围 软件使用 CTF实战 程序查壳 UPX脱壳 总结 前言 加壳软件分两类: 压缩壳:压缩的目的是减少程序体积,如 ASPack、UPX、PECompact
目前较常用的壳有UPX,ASPack、PePack、PECompact、UPack、免疫007、木马彩衣等等。
领取专属 10元无门槛券
手把手带您无忧上云