實驗目的
1、學會使用相關軟件工具,手動脫ASPack殼。 2、不要用PEiD查入口,單步跟蹤,提高手動找入口能力。
實驗內容
手動對文件“ASPack 2.12 - Alexey Solodovnikov.exe”進行脫殼。
實驗環境描述
L005003003winxp
實驗步驟
1、雙擊打開桌面的 PEiD.exe,對ASPack 2.12 - Alexey Solodovnikov.exe進行查殼,看一下是什么類型的殼,由下圖可知該殼是ASPack殼(壓縮殼)
2、雙擊打開桌面的 OD,將ASPack 2.12 - Alexey Solodovnikov.exe載入OD,載入OD的方法有兩種:第一種:通過菜單欄文件打開;第二種:直接將其拖入OD。
3、用ESP定律脫殼,單步跳過(F8),進入下一步,發現在寄存器窗口里,ESP變成紅色,右鍵單擊ESP選擇在數據窗口跟隨
5、下硬件訪問斷點(Word)
6、查看斷點
6、運行(F9),執行到斷點處
7、單步跳過(F8)
8、連續按兩次單步跳過(F8),到達OEP,現在可以脫殼了
9、用OD自帶的脫殼工具進行脫殼,勿忘脫殼之前一定要刪除斷點
(1)、單擊獲取EIP作為OEP按鈕
(2)、單擊脫殼按鈕,選擇脫完之后的殼存放的位置以及脫完殼之后文件的名字,保存
(3)、在桌面文件夾下可以看到新生成的ASPack.exe文件,即脫殼之后的文件
10、PEID查看脫殼是否成功或者直接雙擊打開文件(脫殼成功文件可以打開),下圖為成功脫殼
