本文介绍以下 Aspack 修复 IAT 的步骤。 请出 Peid 进行查看,查壳的结果是“什么也没发现”。...换一个查壳工具接着查壳,用 Detect it Easy 0.64 查壳结果是 “Aspack2.12” 的壳。Aspack 的壳是压缩壳,是非常好脱的一个壳。...我们再次使用 ALT+M 打开“内存映射”窗口,这次在 code 节进行下断,也就是 00401000 处地址下 F2 断点。当断点在代码中断时,表示控制权由壳交给了真正程序的代码。...如果自己使用单步跟踪脱壳时,看到一个跨节的跳转或返回时,就说明我们要找到 OEP 了。...注:文章时很久以前写的,crackme 文件已经找不到了,自己用 Aspack 压缩后测试即可。
加壳工具的使用 0x01 前言 0x01 加壳简介 0x02 ASPack加壳 0x03 PE-Armor加壳 0x01 前言 这是我对加壳工具的使用的学习记录。...2.常见到的压缩壳有“UPX”、“北斗程序压缩”、“ASPack”等,加密壳有“PE-Armor”、“ASProtect”等等。...0x02 ASPack加壳 1.在被控制端,安装瑞星杀毒软件,使用瑞星查杀冰河木马、灰鸽子木马、msf生成的木马和Rootkit生成的木马,能够看到灰鸽子木马、msf生成的木马被查杀。...2.在控制端安装ASPack加壳软件,对这四个木马进行加壳,加壳后会生成备份的。 3.将加壳的木马共享给被控制端,控制端再使用瑞星查杀,发现两个木马并查杀,有两个未检测出来。...3.将加壳后的木马种植在被控制端计算机中,使用瑞星查杀,发现有一个被查杀,三个隐藏起来了。
脱壳第一讲,手工脱壳ASPack2.12的壳.ESP定律 一丶什么是ESP定律 首先我们要明白什么是壳.壳的作用就是加密PE的....二丶利用工具脱掉ASPACK2.12的壳 首先,我们找一个带壳的工具,利用PEID查壳.查看是什么壳. ? OD附加进程. ?...这个地方则是出来的地方,那么ASPack的壳有一个特征,就是出来之后会跳转,然后有两个ret 因为程序是32位程序,所以我们要放到32位的虚拟机里面去脱壳....然后我们使用OD的插件去脱壳, 这个插件是修复PE的导入表的.可以直接利用. ? 然后点击脱壳即可,如果没有这个工具,你需要自己手动解析PE,然后重建导入表才可以.
Procdump32这个通用脱壳软件,它是一个强大的脱壳软件,他可以解开绝大部分的加密外壳,还有脚本功能可以使用脚本轻松解开特定外壳的加密文件。...5.常见的壳脱法 (一)aspack壳 脱壳可用unaspack或caspr 1.unaspack ,使用方法类似lanuage,傻瓜式软件,运行后选取待脱壳的软件即可....使用方法类似fi 优点:可以脱aspack任何版本的壳,脱壳能力极强缺点:Dos界面。...第二种:将aa.exe的图标拖到caspr.exe的图标上***若已侦测出是aspack壳,用unaspack脱壳出错,说明是aspack高版本的壳,用caspr脱即可。...(三)PEcompact壳 脱壳用unpecompact 使用方法类似lanuage傻瓜式软件,运行后选取待脱壳的软件即可。
=%1 -o %1 %1.o %1 五、编译运行 J2E HelloGCJ 可以看到后成了HelloGCJ.o和HelloGCJ.exe文件,不过这个文件巨大,有8,883,481字节,比较恐怖:)用ASPack...压缩一下,压缩率可以达到22%,剩下1,984,512字节,ASPack的压缩力倒是很强:) ======================================================...有了 第五步、编译运行 J2E HelloGCJ 同样是可以看到后成了HelloGCJ.o和HelloGCJ.exe文件,不过这个文件比刚才用4.02编译的要小很多,才5,167,559字节,我们再用ASPack...结果:在我的Windows 2000 ADS上面用4.02或3.4编译的或者编译后并ASPack过的都可以运行。...但是,在Windows 98 SE上面用4.02编译的或者编译后并ASPack过的都不能够运行!!! 所以,大家要用哪个版本自己选择。
为了节省大量用户下载占用的带宽,又不便使用 P2P 技术,需要做一个尽量小的独立 EXE,这里是对如何让一个简单的 EXE 体积尽量小的部分方法与每一步的实际效果。...可能是示例程序过于简单,所以此开关并没有产生实际的影响,但是在其它有需求的情况下是可以考虑使用它的,在复杂程序中开优化减小体积还是比较明显的,当然也要提防优化带来的问题。...这个开关对 Release 文件体积影响较小,在文件较大时也只能压缩几 KB 的大小,而且要承担没有 PDB 后期调试困难的结果,不太建议使用。...加壳压缩 使用比如 UPX,ASPack 等加壳工具对可执行程序进行压缩。...但是实际发现,在 EXE 文件特别小时,比如像上面已经精简到 3584 字节后,再使用 ASPack 工具压缩会反而令 EXE 文件更大。
压缩壳:upx ,aspack ,fsg ,pecompach 加密壳:ASProtect ,Armadillo(穿山甲),EXEcryptor,Themida,ZProtect 虚拟机壳:VMProtect...接下来我们将使用不同的方法来脱几个常见的壳(UPX,Aspack,FSG,PECompact) ----------------------------------------------------...1.首先我们使用OD载入附件中的【Aspack.exe】程序,然后会看到以下代码,第一条指令是Pushad,发现第一条命令是它,就能使用ESP定律搞。...1.首先我们使用OD载入附件中的【PECompact.exe】程序,然后会看到以下代码。...1.首先我们使用OD载入附件中的【FSG.exe】程序,这里我们直接运行起来,然后会看到如下图这样的代码。
名称介绍:hacker cracker honke 木马:灰鸽子、黑洞、PcShare rootkit 工具:ntroorkit IPC$: 命名管道 加壳: UPX、ASPack、Pepack、PECompact
最常见的加壳软件有ASPACK,UPX,PE compact等等。 其中查壳工具有language.exe、PEid等等。...脱壳的方法有很多种,如:单步跟踪法、ESP定律法、二次断点法、末次异常法、模拟跟踪法、SFX自动脱壳法、出口标志法、使用脱壳脚本辅助脱壳、使用脱壳工具脱壳。...在这里我就不赘述其他方法了,可以参考http://www.cnblogs.com/einyboy/archive/2012/05/19/2508696.html 其中AspackDie.exe是一种针对ASpack
ASprotect 2.1 reg ( www.aspack.com/asprotect.htm ) only exe files DLL files detect as ASpack 013...Generic check – Aspack v2.1x -> Alexey Solodovnikov 037. Aspack v2.12b?...ASprotect 1.1c old version ( www.aspack.com/asprotect.htm ) 080....ASprotect 2.3 SKE ( www.aspack.com/asprotect.htm ) 25% 212....Aspack v2.0/2.001 -> Alexey Solodovnikov – www.aspack.com 308.
一步直达法 适用于大部分的UPX壳和aspack壳 进入程序时为pushed进栈命令,需要查找对应的出栈命令。 CRRL+F查找popad出栈命令,然后运行到该位置。单步进入跳转位置。 ?
Windows\StartMenu\Programs\Startup https://www.winrar.com.cn/ winrar下载地址 3、简单做一下木马免杀 我们选取的加壳软件是ASPack...(这个页面可以直接访问使用) 由于是中英文切换的所以英文页面也要改一下。 5、修改一下version.js文件中的链接,为自己的钓鱼页面。...(主要与XSS直接配合使用) 6、我比较喜欢用宝塔,我们新建一个站点,填好域名,改为静态后,将源码放入对应的网站目录下。...没有服务器和域名怎么办 http://www.webweb.com/ 香港云可以白嫖 7、下面开始钓鱼 如果你想利用XSS钓鱼 可以使用src标签 构造payload: 提示:护网中最好使用域名相近的域名。
本章节我们将学习OD脚本的使用与编写技巧,脚本有啥用呢?...脚本的用处非常的大,比如我们要对按钮事件进行批量下断点,此时使用自动化脚本将大大减小我们的工作量,再比如有些比较简单的压缩壳需要脱壳,此时我们也可以写出属于自己的脱壳脚本,以后遇到了对应的壳就可以使用对应脚本快速的搞定...几个常用的脱壳脚本 我们使用CM_14.zip里面加过壳的案例。...1.脱 Aspack 脚本 // 脱 Aspack 壳的脚本 findop eip,#61# // 查找popad bphws $RESULT,"x" // 返回查找到的地址
要设置读断点,必须使用硬件断点,或一个OllyDbg内存断点来实现。 ...多数脱壳器会使用GetProcess函数来解析原始函数的导出表。在该函数上设置断点可以使你绕过脱壳存根的开头代码。 在原始程序调用且继续向后工作的函数上设置断点。...使用OllyDbg的RunTrace选项 手动修复导入表 导入表在内存中实际上有两个表: 函数名称或者序号列表,其中包含加载器或脱壳存根所需要的函数名称或者序号 所有导入函数的地址列表。...常见的壳 UPX、ASPack、Petite、WinUpack(Upack)、Themida 脱壳exe和dll的区别 DLL中的OEP是DllMain原始函数的开始地址,加壳DLL列出的开始地址是脱壳存根中的一个地址...OllyDump为什么能通过跨段找到OEP: 通常,脱壳存根在一个节里,而可执行程序被打包到另一节中,使用step-over或者step-into方法,当程序从一个节跳转到另一个节运行时,OllyDbg
将原本可执行文件中的代码和数据进行压缩,然后将解压缩用的代码附加在前面;运行的时候先将原本的可执行数据解压缩出来,然后再运行解压缩后的数据 常见打包器: UPX:https://upx.github.io/ ASPack...:http://www.aspack.com/ 例子: #include #include int main(int argc, char *argv[]...,否则显示 auth error 编译之后IDA看 可以看到逻辑非常清晰 但是UPX打包后,就看不懂了;即使用二进制编辑器打开可执行文件,我们也无法找到 correct!
目前较常用的壳有UPX、ASPack、PePack、PECompact和UPack等。...root密码默认为alpine http://blog.csdn.net/z929118967/article/details/77980812 ssh 'root@192.168.2.212' 使用...ssh config配置文件来管理ssh连接 Host : hostName的别名 HostName: 是目标主机的主机名,也就是平时我们使用ssh后面跟的地址名称。...iOS逆向工具usbMuxd的应用场景:【1、通过USB方式SSH到iOS越狱设备2、端口转发】 connecting-to-github-with-ssh 免密码进行SSH连接:【Mac 使用~/....00.01 grep /var/mobile 因为从AppStore中下载安装的应用都会位于/var/mobile/..Applications中, 1.2、查找app document对应的目录 使用
文章目录 前言 UPX 技术原理 应用范围 软件使用 CTF实战 程序查壳 UPX脱壳 总结 前言 加壳软件分两类: 压缩壳:压缩的目的是减少程序体积,如 ASPack、UPX、PECompact...使用加壳软件加密代码和数据,就可以保护你程序数据的完整性,防止被程序修改和被窥视内幕。...软件使用 UPX 软件的 Github下载地址,拿来即可食用: 在 cmder 中打开,使用 -h 参数可以查看使用方法: 核心的用法如下: upx sample.exe upx -d...总结 本文学习记录了 UPX 软件加壳、脱壳(压缩与解压缩)的方法,并直观比较了其加壳后、脱壳后的文件结构,总的来说压缩壳的作用有限,UPX 已经被应用很久了,脱壳技术成熟,使用于防止反编译、病毒免杀的作用十分有限
: check_armadillo.asm – added Armadillo v6.40 and v6.60 – v7.00 (or newer) detection – new: check_aspack.asm...– added ASPack v2.2 detection – new: check_asprotect.asm – added ASProtect v1.4 build 04.01 Beta detection...one more generic check – improved: check_asdpack.asm – scanning speed optimizations – improved: check_aspack.asm...zip etc reporting) – new: added in quick detection for starforce protected pdf file – update: check_aspack.asm...– added additional check for ASPack 2.x to avoid a false positive when scanning a file wrapped by FlashBack
有很多黑客就是热中与使用木马程序来控制别人的电脑,比如灰鸽子,黑洞,PcShare等等。...3389、4899肉鸡:3389是Windows终端服务(Terminal Services)所默认使用的端口号,该服务是微软为了方便网络管理员远程管理及维护服务器而推出的,网络管理员可以使用远程桌面连接到网络上任意一台开启了终端服务的计算机上...Radmin是一款非常优秀的远程控制软件,4899就是Radmin默认使用也经常被黑客当作木马来使用(正是这个原因,目前的杀毒软件也对Radmin查杀了)。有的人在使用的服务端口号。...因为Radmin的控制功能非常强大,传输速度也比大多数木马快,而且又不被杀毒软件所查杀,所用Radmin管理远程电脑时使用的是空口令或者是弱口令,黑客就可以使用一些软件扫描网络上存在Radmin空口令或者弱口令的主机...目前较常用的壳有UPX,ASPack、PePack、PECompact、UPack、免疫007、木马彩衣等等。
领取专属 10元无门槛券
手把手带您无忧上云