前言:ASPack 2.12 脱壳笔记
首先先查壳,如下图所示,可以看到的是ASPack 2.12
载入调试器中可以看到开头为PUSHAD,首先直接用ESP定律来进行尝试来到OEP的位置
通过ESP定律来到如下的位置,堆栈观察起始一样,那么这里大概率就是OEP了
接着将OEP为起始位置,将程序进行转储出来,尝试运行可以发现报错0xC0000005,看到C05的话,大概率就是IAT表或者重定位表的问题了
因为在XP这里就直接忽略重定位的问题了,这里来看下IAT表的情况,如下图所示,可以确定是IAT表的问题,地址都直接被写成了函数地址,那肯定就会导致程序加载,操作系统无法填充IAT表了
这里来进行修复,将壳程序(来到OEP的状态下),用importREC来进行修复,首先先定位当前的IAT表中的函数地址,如下图所示
这里会看到奇怪的部分,你会发现这个IAT表其中一部分不是填充的函数的地址
引发上面的就如下几种情况,但是还是得具体问题具体分析
1、一种是壳程序故意进行破坏来干扰你,但这些其实就是没用的数据,这里的话可以直接来进行修复先,将没用的数据直接进行剔除即可
2、一种是壳程序原来部分的IAT表进行了重定向,这个时候就需要进行寻找修改重定向的位置让其取消修改,这样就能保证IAT的无损修复
3、还有一种的话就是本身就这样子,这里的话可以直接来进行修复先,将没用的数据直接进行剔除即可
第一个加载的DLL为user32.dll,所以这里可以确定第一个导入表就是user32.dll,起始地址为0040119C
结束地址为0x401218
那么其中IAT表的大小就是401218-40119C=7C,如下图所示
这里先将其中间的数据当前干扰数据直接进行剔除,然后进行修复IAT表
接着就是进行修正转储
但是你运行该程序会发现还是有问题,如下图所示,你会发现0x00804000这个地址就是不存在的
后面发现是importREC中OEP填错了,应该是00004000才对,然后重新修复下,重新运行,现在可以了,如下图所示
