文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

Aspack手动查找IAT完成脱壳修复

因此,学习 PE 文件结构时,可以通过修复壳来加深对 PE 文件结构学习。 本文介绍以下 Aspack 修复 IAT 步骤。...请出 Peid 进行查看,查壳结果是“什么也没发现”。换一个查壳工具接着查壳,用 Detect it Easy 0.64 查壳结果是 “Aspack2.12” 壳。...Aspack 壳是压缩壳,是非常好脱一个壳。...这次我们运行 dump_.exe 文件,可以看到我们脱壳后 crackme 运行起来了。 我们较为详细分析了对 ASPACK2.12 脱壳过程,和脱壳后对导入表修复过程。...希望大家能够举一反三,从中学到更多知识。 注:文章时很久以前写,crackme 文件已经找不到了,自己用 Aspack 压缩后测试即可。

1.3K30

爱加密企业版静态脱壳机编写

0x00:APK加固简介    大家都知道Android中程序反编译比较简单,辛苦开发出一个APK轻易被人反编译了,所以现在就有很多APK加固第三方平台,比如爱加密和梆梆加固、360加固等。  ...0x04:静态脱壳机编写 加壳时将方法指令抽走后自定义格式加密存放在assets/ijiami.ajm文件中,通过IDA动态调试分析发现每个被抽走方法debuginfo值改成0X3F开始8字节大不值...,该值在还原时做为MapKEY。...还原后结构大致如下: ? 壳还原指令时流程如下: ?...写静态脱壳机须要还原解密算法,它数据又做了多重加密所以要还原多个算法,其实算法本身并不复杂,但爱加密壳做了混淆,所以比较难找有用指令,还原后其中一个算法如下: ?

3.7K00
您找到你想要的搜索结果了吗?
是的
没有找到

APK加固之静态脱壳机编写入门

0x00APK加固简介与静态脱壳机编写思路 1.大家都知道Android中程序反编译比较简单,辛苦开发出一个APK轻易被人反编译了,所以现在就有很多APK加固第三方平台,比如爱加密和梆梆加固等。...2.一般加固保护通常能够提供如下保护:加密、防逆向、防篡改、反调试、反窃取等功能,编写静态脱壳机须要信息有加密后原始DEX数据、解密算法、解密密钥、要想获得这些信息我们首先要解决问题是过反调试、动态分析解密流程...图5 可以看到INIT值为0x2ea91,到 IDA中看看该地址内容,就是壳入口了,明显是UPX加壳,图6所示,有人会问你为什么会知道是UPX壳,“只是因为在人群中多看了你一眼,再也没能忘掉你容颜...图16 0x05脱壳机编写 1.通过分析,已经知道了壳数据、密钥、算法、解密过程, 现在来写脱壳机。 必要步骤如下: 1。解包获得rsprotect.da数据。 2.XML解析获得包名。...图18 2.以上就是简单实现一般APK加固静态脱壳机编写步骤,由于该加固核心so文件使用UPX默认加壳并未做变形处理,导致so被轻松静态脱卓,而so模块中反调试手段比较初级且模块化,可以非常简单手工

2K00

脱壳第一讲,手工脱壳ASPack2.12壳.ESP定律

脱壳第一讲,手工脱壳ASPack2.12壳.ESP定律 一丶什么是ESP定律 首先我们要明白什么是壳.壳作用就是加密PE....二丶利用工具脱掉ASPACK2.12壳 首先,我们找一个带壳工具,利用PEID查壳.查看是什么壳. ? OD附加进程. ?...思路:        因为pushad时候,所有寄存器传参,当popad时候,肯定会修改寄存器值 所以在栈中下硬件访问或者硬件写入断点. 先F8走一步,看栈 ?...(保存寄存器栈地址,随便哪个都可以)然后下硬件访问断点. ? 我是定位到栈顶位置,12ffa8位置,当然也可以是下边. 下硬件访问或者硬件写入断点. ? 然后F9运行起来.发现会断下来. ?...这个地方则是出来地方,那么ASPack壳有一个特征,就是出来之后会跳转,然后有两个ret 因为程序是32位程序,所以我们要放到32位虚拟机里面去脱壳.

1.7K60

linux 软件脱壳机,关于UPX脱壳后程序无法运行

upx 关于脱壳命令格式如下:upx -d 要脱壳文件如:UPX -d 132.EXEpEID 里有个通用脱壳机,可以试试而且手工找入口点也是很简单找pushad对应Popad,在popad旁跳转命令就是跳到文件原入口点了...啊D壳UPX 0.89.6 – 1.02 / 1.05 – 1.24 (Delphi) stub -> Markus & Lasz1.首先不知道你是用什么软件脱是OD还是专用脱壳机。...这里压缩并不是我们平时使用RAR、ZIP这些工具压缩,壳压缩指的是针对exe、com、和dll等程序文件进行压缩,在程序中加入一段如同保护层代码,使原程序文件代码失去本来面目。...不是双壳是个伪装壳 是个VB程序 抽取了OEP 如果用UPX脱壳机脱壳后就会出现Morphine 1.2 – 1.3 -> rootkit 偶们电脑运行不了程序不知道脱壳成功没有:) OD你应该会用吧...如何进行Linux下UPX脱壳 linux很少有需要crack软件,所以最近总是自娱自乐。自己写软件自己破着玩但是由于都是知道自己手段,没有什么意思。

2.3K20

加壳工具使用

大家好,又见面了,我是你们朋友全栈君。...加壳工具使用 0x01 前言 0x01 加壳简介 0x02 ASPack加壳 0x03 PE-Armor加壳 0x01 前言 这是我对加壳工具使用学习记录。...2.常见到压缩壳有“UPX”、“北斗程序压缩”、“ASPack”等,加密壳有“PE-Armor”、“ASProtect”等等。...0x02 ASPack加壳 1.在被控制端,安装瑞星杀毒软件,使用瑞星查杀冰河木马、灰鸽子木马、msf生成木马和Rootkit生成木马,能够看到灰鸽子木马、msf生成木马被查杀。...2.在控制端安装ASPack加壳软件,对这四个木马进行加壳,加壳后会生成备份。 3.将加壳木马共享给被控制端,控制端再使用瑞星查杀,发现两个木马并查杀,有两个未检测出来。

2.1K20

用GCJ编译Java源文件成脱离JREexe可执行文件

=%1 -o %1 %1.o %1 五、编译运行 J2E HelloGCJ 可以看到后成了HelloGCJ.o和HelloGCJ.exe文件,不过这个文件巨大,有8,883,481字节,比较恐怖:)用ASPack...压缩一下,压缩率可以达到22%,剩下1,984,512字节,ASPack压缩力倒是很强:) ======================================================...5,167,559字节,我们再用ASPack压缩一下,压缩率可以达到17%,剩下898,560字节,更小了,小了一大半,但是要检测一下看有没有问题才行。...结果:在我Windows 2000 ADS上面用4.02或3.4编译或者编译后并ASPack都可以运行。...但是,在Windows 98 SE上面用4.02编译或者编译后并ASPack都不能够运行!!! 所以,大家要用哪个版本自己选择。

1.8K20

UPX 脱壳初见

: 用最多,但只要用UNASPACK或PEDUMP32脱壳就行了 (2)ASProtect+aspack:次之,国外软件多用它加壳,脱壳时需要用到SOFTICE+ICEDUMP,需要一定专业知识...5.常见壳脱法 (一)aspack壳 脱壳可用unaspack或caspr 1.unaspack ,使用方法类似lanuage,傻瓜式软件,运行后选取待脱壳软件即可....缺点:只能脱aspack早些时候版本壳,不能脱高版本壳 2.caspr第一种:待脱壳软件(如aa.exe)和caspr.exe位于同一目录下,执行windows起始菜单运行,键入 caspr aa.exe...使用方法类似fi 优点:可以脱aspack任何版本壳,脱壳能力极强缺点:Dos界面。...第二种:将aa.exe图标拖到caspr.exe图标上***若已侦测出是aspack壳,用unaspack脱壳出错,说明是aspack高版本壳,用caspr脱即可。

1.5K20

【Android 逆向】整体加固脱壳 ( 脱壳起点 : 整体加固脱壳 | Dalvik 脱壳机制 : 利用 DexClassLoader 加载过程进行脱壳 | 相关源码分析 )

文章目录 一、脱壳起点 : 整体加固脱壳 二、Dalvik 脱壳机制 : 利用 DexClassLoader 加载过程进行脱壳 1、DexClassLoader 源码 2、DexClassLoader...脱壳机制 : 利用 DexClassLoader 加载过程进行脱壳 ---- Dalvik 脱壳机制 : 在 Dalvik 下 , 使用自定义 DexClassLoader 加载 dex 字节码文件中类...这可用于执行未作为应用程序一部分安装代码。 * * 这个类加载器需要一个应用程序私有的可写目录来缓存优化类。... * 外部存储不提供保护您计算机所需访问控制 * 防止代码注入攻击应用程序。...dex 文件 , 并成功执行了其中方法 ; 主要使用流程源码如下 : /** * 测试调用 Dex 字节码文件中方法 * @param context * @

67620

如何让你 EXEDLL 足够小

为了节省大量用户下载占用带宽,又不便使用 P2P 技术,需要做一个尽量小独立 EXE,这里是对如何让一个简单 EXE 体积尽量小部分方法与每一步实际效果。...可能是示例程序过于简单,所以此开关并没有产生实际影响,但是在其它有需求情况下是可以考虑使用它,在复杂程序中开优化减小体积还是比较明显,当然也要提防优化带来问题。...自己实现用到 CRT 函数 上面的程序里用到了strcpy,那么我们就自己来实现它,当然你用跟它相同名字和声明实现一个函数是通不过编译,VC 会报错error C2169: 'strcpy' :...这些在代码量大情况下可能会是一个比较繁琐过程。 加壳压缩 使用比如 UPX,ASPack 等加壳工具对可执行程序进行压缩。...但是实际发现,在 EXE 文件特别小时,比如像上面已经精简到 3584 字节后,再使用 ASPack 工具压缩会反而令 EXE 文件更大。

55750

第一次使用OD和IDA动静结合找出软件注册算法

这时选择F12暂停法(按OD中暂停键,然后再点工具栏中K快捷键,找到最下面的一个"调用来自",双击来到代码中),鼠标往上拉,看到下面的代码 ?...call处下好断点,重新载入软件就可以分析算法了,不过这回偷个懒,上利器IDA{:1_914:},通过上面的分析可以看到,算法在一个dll里,文件名叫verypdf.dll,结果是有壳啊,不会脱,直接脱壳机搞一下..., IDA载入脱壳后文件,直接shif+F12,来到字符串窗口,alt+T搜字符串"thanks",找到这个".data:100172F4 00000046 C Your registration key...此是使用IDA强大F5功能,得到代码 ? 双击这个函数 sub_10001170进去看下算法验证, ? 可以跟OD中代码比对一下,再次验证了F5强大 ?

1.1K20

中国顶级CTF竞赛网络安全大赛--2022网鼎杯re2解题思路来了,快来围观!

作者:黑蛋一、脱壳PEID查不出来,用了die,显示是UPX3.96壳,用了脱壳机,脱不了,只能手动脱壳,拖入x64dbg,F9运行到程序领空,很明显特征,push:无脑使用ESP定律大法,对ESP...:脱壳成功,但是运行一闪而过,这是动态基址搞鬼,手法很多,有脱壳机有禁用动态基址选项,这里我们直接把程序拖入010Editor修改标志位,改为20即关闭动态基址,保存退出:可正常运行,接下来分析算法。...二、算法分析1、进入主函数(很明显是vs写程序,根据步骤找主函数就行)F9进入程序领空,进入第一个call:再进入第二个call:找特征码,进入标记call:进入第四个call:走过一个跳转,进入主函数...:可以猜到flag长度为20,如果不是20,直接到打印错误地方,继续向下看,下面对字符串进行第一次处理。...亦或66,继续看下去,又是一个比较长度函数,之后没什么了,这个函数结束,直到返回主函数:下面就是打印wrong,长度为20会跳过这个打印:我们看当前标记函数,传入参数是我们flag亦或66之后字符串

84620

如何让你 EXEDLL 足够小

为了节省大量用户下载占用带宽,又不便使用 P2P 技术,需要做一个尽量小独立 EXE,这里是对如何让一个简单 EXE 体积尽量小部分方法与每一步实际效果。...可能是示例程序过于简单,所以此开关并没有产生实际影响,但是在其它有需求情况下是可以考虑使用它,在复杂程序中开优化减小体积还是比较明显,当然也要提防优化带来问题。...自己实现用到 CRT 函数 上面的程序里用到了strcpy,那么我们就自己来实现它,当然你用跟它相同名字和声明实现一个函数是通不过编译,VC 会报错error C2169: 'strcpy' :...这些在代码量大情况下可能会是一个比较繁琐过程。 加壳压缩 使用比如 UPX,ASPack 等加壳工具对可执行程序进行压缩。...但是实际发现,在 EXE 文件特别小时,比如像上面已经精简到 3584 字节后,再使用 ASPack 工具压缩会反而令 EXE 文件更大。

99720

X86逆向14:常见脱壳手法

加壳就是用来压缩或者保护软件不被非法修改破解一种工具,而脱壳就是将已经加壳程序从壳中剥离出来,既然能给程序进行加壳,那也就会有相应脱壳方法,本节课我们将讲解几种常见脱壳方法,让你能够应对一部分软件加壳保护...压缩壳:upx ,aspack ,fsg ,pecompach 加密壳:ASProtect ,Armadillo(穿山甲),EXEcryptor,Themida,ZProtect 虚拟机壳:VMProtect...接下来我们将使用不同方法来脱几个常见壳(UPX,Aspack,FSG,PECompact) ----------------------------------------------------...你只需学会这个ESP定律,就可以很方便脱掉市面上大部分压缩壳,可谓是本世纪破解界最伟大发现。...1.首先我们使用OD载入附件中Aspack.exe】程序,然后会看到以下代码,第一条指令是Pushad,发现第一条命令是它,就能使用ESP定律搞。

93420

常见android app加固厂商脱壳方法研究

目录简述(脱壳前学习知识、壳历史、脱壳方法) 第一代壳 第二代壳 第三代壳 第N代壳 简述Apk文件结构Dex文件结构壳史壳识别Apk文件结构 ? Dex文件结构 ?...第二代壳内存重组法Hook法动态调试定制系统静态脱壳机内存重组法 Dex篇 ZjDroid http://bbs.pediy.com/showthread.php?...t=190494 对付一切内存中完整dex,包括壳与动态加载jar ? ? so篇 elfrebuild ? ? 构造soinfo,然后对其进行重建 ? ?...DexHunter-最强大二代壳脱壳工具 https://github.com/zyq8709/DexHunter DexHunter工作流程: ? DexHunter工作原理: ?...静态脱壳机 分析壳so逻辑并还原加密算法 http://www.cnblogs.com/2014asm/p/4924342.html ?

5.3K20

逆向-加壳工具介绍

压缩壳 压缩壳以UPX为代表,使用方法在前面的文章中有,此类壳功能已压缩为主,对文件加密效果几乎没有,Peid等侦壳工具可以轻而易举地发现这些壳,相应也有较成熟脱壳机来实现。...加密壳 常见加密壳有ASProtect和Armadillo穿山甲,这两种工具使用较为广泛,加密效果较强,但就像密码一样,没有激活成功教程不了密码也没有脱不掉壳,其使用广泛性也增加了其关注度和可研究性...,目前针对ASProtect好像已经有了可用脱壳机。...本文把穿山甲使用流程展示如下: 加壳流程与工程创建相似,首先在工具内创建工程 然后输入工程名和版本号 在第二栏中选择需要保护文件,需保护次要文件为主文件调用DLL等,也可不选...,无疑降低了用户使用体验,目前还没有找到其他设置方法。

1.7K10

简单软件激活成功教程入门

在这之前,我们需要先了解壳概念。什么是壳?所谓壳就是一个保护程序,将可执行文件压缩,保护软件版权信息,不让人随意改动。最常见加壳软件有ASPACK,UPX,PE compact等等。...如图所示,我们便可以知道待激活成功教程软件是采用什么语言编写,并且加了什么类型壳。 2. 脱壳 所谓脱壳,就是将已经加壳程序从壳中剥离出来。...首先需要介绍OEP概念,OEP就是原程序入口点,也就是真正入口点。当被加壳程序运行后,首先运行是壳程序,壳程序会将原程序还原到内存中并将控制权返还。OEP总会在这期间被脱壳者找到。...在这里我就不赘述其他方法了,可以参考http://www.cnblogs.com/einyboy/archive/2012/05/19/2508696.html 其中AspackDie.exe是一种针对ASpack...首先我们可以利用反汇编软件功能寻找“注册码错误”、“注册成功”等提示性参考串,缩小我们需要阅读代码范围。

1.1K30
点击加载更多

扫码

添加站长 进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

更多标签

活动推荐

    运营活动

    活动名称
    广告关闭

    腾讯云开发者

    扫码关注腾讯云开发者

    扫码关注腾讯云开发者

    领取腾讯云代金券

    热门产品

    热门推荐

    更多推荐

    Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

    深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

    腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号 | 京公网安备号11010802020287

    领券