Aspack学习笔记

demoscene

小鸟学习Aspack
用Aspack 2.2给MM加壳
1.Aspack开始的花指令
OD载入程序。


进入到这里


这几句花指令很经典，脱壳经常会看到
经过inc ebp 后retn到这，


jump后就到这了


到这里这个花的使命结束。
看到花指令执行后的代码看起来和这前一样。
主要就是执行 jmp 0048800E 这句。主要要在代码中加了一个 E9来扰乱了OD的分析
如果在笫一个 Call F8程序就跑飞了，因为  00488007这句代码不会被执行到
2.解码部分
.略，解码没什么分析的
3.输入表处理
略过解码部分，来到下面


在dump窗口到0046DBE0看看

0046DBE0这里出现了完整的输入表
继续

跳到这里


4.修正PE头信息，跳到OEP
同略
5.脱壳
经过上面的分析，知道内存中会出现完整的输入表。
但是 0048837E 和下面的两条指令会用一个函数地址填充掉IID里面的一些重要信息。
也就是破坏了输入表原始信息。
我们不能让它填充。
重载程序，直接在 0048837E这里F2下断。F9断下来。取消断点
把这三条语句 NOP 掉


到OEP去，用 LordPe 把程序Dump下来
。试试运行程序。

出来这个东西，可爱的MM没看到
嗯，我好像忘记修正OEP和输入表地址了
用LordPe载入Dump下的程序，修改OEP的RVA为685E8
同时修正输入表RVA地址为 6DBE0（就是出现完整的输入表的地方)


保存，保存。
再打开修复的程序。哦也，看到MM了

zapline

亮点是最后一张

小糊涂虫

说实话，我对那个mm我很感兴趣的。。。

lidayue

学习一下~~
感谢LZ分享！

demoscene

都不是好人。
此MM三围等信息保密。

greak

回复 1# demoscene


    完全造成2楼的，靓点是最后一张哈

美丽的代价

呵呵，MM不错！

Hmily

图文并茂,不错,加精鼓励!期待更多佳作!

chinasmu

向楼主学习了！[s:48]

Smoke

MM貌似也不是很美