本文介绍以下 Aspack 修复 IAT 的步骤。 请出 Peid 进行查看,查壳的结果是“什么也没发现”。...换一个查壳工具接着查壳,用 Detect it Easy 0.64 查壳结果是 “Aspack2.12” 的壳。Aspack 的壳是压缩壳,是非常好脱的一个壳。...我们较为详细的分析了对 ASPACK2.12 的脱壳过程,和脱壳后对导入表的修复过程。希望大家能够举一反三,从中学到更多的知识。...注:文章时很久以前写的,crackme 文件已经找不到了,自己用 Aspack 压缩后测试即可。
0x00APK加固简介与静态脱壳机的编写思路 1.大家都知道Android中的程序反编译比较简单,辛苦开发出一个APK轻易被人反编译了,所以现在就有很多APK加固的第三方平台,比如爱加密和梆梆加固等。...2.一般的加固保护通常能够提供如下保护:加密、防逆向、防篡改、反调试、反窃取等功能,编写静态脱壳机须要信息有加密后的原始DEX数据、解密算法、解密密钥、要想获得这些信息我们首先要解决的问题是过反调试、动态分析解密流程...图16 0x05脱壳机编写 1.通过分析,已经知道了壳的数据、密钥、算法、解密过程, 现在来写脱壳机。 必要步骤如下: 1。解包获得rsprotect.da数据。 2.XML解析获得包名。...图18 2.以上就是简单实现一般APK加固静态脱壳机的编写步骤,由于该加固核心so文件使用UPX默认加壳并未做变形处理,导致so被轻松的静态脱卓,而so模块中的反调试手段比较初级且模块化,可以非常简单的手工
0x04:静态脱壳机编写 加壳时将方法指令抽走后自定义格式加密存放在assets/ijiami.ajm文件中,通过IDA动态调试分析发现每个被抽走的方法的debuginfo值改成0X3F开始的8字节大不的值...写静态脱壳机须要还原解密算法,它的数据又做了多重加密所以要还原多个算法,其实算法本身并不复杂,但爱加密壳做了混淆,所以比较难找有用的指令,还原后的其中一个算法如下: ?
upx 关于脱壳的命令格式如下:upx -d 要脱壳的文件如:UPX -d 132.EXEpEID 里有个通用脱壳机,可以试试而且手工找入口点也是很简单的找pushad对应的Popad,在popad旁的跳转命令就是跳到文件的原入口点了...啊D壳UPX 0.89.6 – 1.02 / 1.05 – 1.24 (Delphi) stub -> Markus & Lasz1.首先不知道你是用什么软件脱的是OD还是专用的脱壳机。...不是双壳是个伪装壳 是个VB的程序 抽取了OEP 如果用UPX脱壳机脱壳后就会出现Morphine 1.2 – 1.3 -> rootkit 偶们电脑运行不了程序不知道脱壳成功没有:) OD你应该会用吧
脱壳第一讲,手工脱壳ASPack2.12的壳.ESP定律 一丶什么是ESP定律 首先我们要明白什么是壳.壳的作用就是加密PE的....二丶利用工具脱掉ASPACK2.12的壳 首先,我们找一个带壳的工具,利用PEID查壳.查看是什么壳. ? OD附加进程. ?...这个地方则是出来的地方,那么ASPack的壳有一个特征,就是出来之后会跳转,然后有两个ret 因为程序是32位程序,所以我们要放到32位的虚拟机里面去脱壳.
而自动就是用专门的脱壳工具来脱,最常用某种压缩软件都有他人写的反压缩工具对应,有些压缩工具自身能解压,如UPX;有些不提供这功能,如:ASPACK,就需要UNASPACK对付,好处是简单,缺点是版本更新了就没用了...: 用的最多,但只要用UNASPACK或PEDUMP32脱壳就行了 (2)ASProtect+aspack:次之,国外的软件多用它加壳,脱壳时需要用到SOFTICE+ICEDUMP,需要一定的专业知识...5.常见的壳脱法 (一)aspack壳 脱壳可用unaspack或caspr 1.unaspack ,使用方法类似lanuage,傻瓜式软件,运行后选取待脱壳的软件即可....使用方法类似fi 优点:可以脱aspack任何版本的壳,脱壳能力极强缺点:Dos界面。...第二种:将aa.exe的图标拖到caspr.exe的图标上***若已侦测出是aspack壳,用unaspack脱壳出错,说明是aspack高版本的壳,用caspr脱即可。
加壳工具的使用 0x01 前言 0x01 加壳简介 0x02 ASPack加壳 0x03 PE-Armor加壳 0x01 前言 这是我对加壳工具的使用的学习记录。...2.常见到的压缩壳有“UPX”、“北斗程序压缩”、“ASPack”等,加密壳有“PE-Armor”、“ASProtect”等等。...0x02 ASPack加壳 1.在被控制端,安装瑞星杀毒软件,使用瑞星查杀冰河木马、灰鸽子木马、msf生成的木马和Rootkit生成的木马,能够看到灰鸽子木马、msf生成的木马被查杀。...2.在控制端安装ASPack加壳软件,对这四个木马进行加壳,加壳后会生成备份的。 3.将加壳的木马共享给被控制端,控制端再使用瑞星查杀,发现两个木马并查杀,有两个未检测出来。
=%1 -o %1 %1.o %1 五、编译运行 J2E HelloGCJ 可以看到后成了HelloGCJ.o和HelloGCJ.exe文件,不过这个文件巨大,有8,883,481字节,比较恐怖:)用ASPack...压缩一下,压缩率可以达到22%,剩下1,984,512字节,ASPack的压缩力倒是很强:) ======================================================...有了 第五步、编译运行 J2E HelloGCJ 同样是可以看到后成了HelloGCJ.o和HelloGCJ.exe文件,不过这个文件比刚才用4.02编译的要小很多,才5,167,559字节,我们再用ASPack...结果:在我的Windows 2000 ADS上面用4.02或3.4编译的或者编译后并ASPack过的都可以运行。...但是,在Windows 98 SE上面用4.02编译的或者编译后并ASPack过的都不能够运行!!! 所以,大家要用哪个版本自己选择。
文章目录 一、脱壳起点 : 整体加固脱壳 二、Dalvik 脱壳机制 : 利用 DexClassLoader 加载过程进行脱壳 1、DexClassLoader 源码 2、DexClassLoader...: 如果拿到 DEX 文件后 , 发现是 Native 函数 , 说明在 整体加固 的基础上进行了 VMP 或者 Dex2C 加壳 ; 下一步 针对 Native 化的函数脱壳 ; 二、Dalvik 脱壳机制...: 利用 DexClassLoader 加载过程进行脱壳 ---- Dalvik 脱壳机制 : 在 Dalvik 下 , 使用自定义 DexClassLoader 加载 dex 字节码文件中的类 ,
加壳压缩 使用比如 UPX,ASPack 等加壳工具对可执行程序进行压缩。...但是实际发现,在 EXE 文件特别小时,比如像上面已经精简到 3584 字节后,再使用 ASPack 工具压缩会反而令 EXE 文件更大。
作者:黑蛋一、脱壳PEID查不出来,用了die,显示是UPX3.96的壳,用了脱壳机,脱不了,只能手动脱壳,拖入x64dbg,F9运行到程序领空,很明显的特征,push:无脑使用ESP定律大法,对ESP...进去又是一个jmp,继续F8,到达OEP:使用x64dbg插件dump:第一步先dump保存,然后第二步,第三步,第四步选择刚才dump保存的程序:脱壳成功,但是运行一闪而过,这是动态基址搞的鬼,手法很多,有脱壳机有禁用动态基址选项
名称介绍:hacker cracker honke 木马:灰鸽子、黑洞、PcShare rootkit 工具:ntroorkit IPC$: 命名管道 加壳: UPX、ASPack、Pepack、PECompact
压缩壳:upx ,aspack ,fsg ,pecompach 加密壳:ASProtect ,Armadillo(穿山甲),EXEcryptor,Themida,ZProtect 虚拟机壳:VMProtect...接下来我们将使用不同的方法来脱几个常见的壳(UPX,Aspack,FSG,PECompact) ----------------------------------------------------...1.首先我们使用OD载入附件中的【Aspack.exe】程序,然后会看到以下代码,第一条指令是Pushad,发现第一条命令是它,就能使用ESP定律搞。
call处下好断点,重新载入软件就可以分析算法了,不过这回偷个懒,上利器IDA{:1_914:},通过上面的分析可以看到,算法在一个dll里,文件名叫verypdf.dll,结果是有壳啊,不会脱,直接脱壳机搞一下
报毒的问题,软件一直使用upx压缩,该壳有可能会被误报,可以下载upx脱壳机直接把壳脱掉; 下载到80%就停止的问题,建议减少线程数,下载模块有重试的功能,每一个任务都会自动重试5次,如果发现列表头打X
ASprotect 2.1 reg ( www.aspack.com/asprotect.htm ) only exe files DLL files detect as ASpack 013...Generic check – Aspack v2.1x -> Alexey Solodovnikov 037. Aspack v2.12b?...ASprotect 1.1c old version ( www.aspack.com/asprotect.htm ) 080....ASprotect 2.3 SKE ( www.aspack.com/asprotect.htm ) 25% 212....Aspack v2.0/2.001 -> Alexey Solodovnikov – www.aspack.com 308.
一步直达法 适用于大部分的UPX壳和aspack壳 进入程序时为pushed进栈命令,需要查找对应的出栈命令。 CRRL+F查找popad出栈命令,然后运行到该位置。单步进入跳转位置。 ?
压缩壳 压缩壳以UPX为代表,使用方法在前面的文章中有,此类壳的功能已压缩为主,对文件的加密效果几乎没有,Peid等侦壳工具可以轻而易举地发现这些壳,相应也有较成熟的脱壳机来实现。...Armadillo穿山甲,这两种工具使用较为广泛,加密效果较强,但就像密码一样,没有激活成功教程不了的密码也没有脱不掉的壳,其使用的广泛性也增加了其关注度和可研究性,目前针对ASProtect好像已经有了可用的脱壳机
最常见的加壳软件有ASPACK,UPX,PE compact等等。 其中查壳工具有language.exe、PEid等等。...在这里我就不赘述其他方法了,可以参考http://www.cnblogs.com/einyboy/archive/2012/05/19/2508696.html 其中AspackDie.exe是一种针对ASpack
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
腾讯会议
云直播
对象存储
