教你如何写Aspack脱壳脚本

教你如何写Aspack脱壳脚本

本文所述的内容皆源于上一节的DLL文件的脱壳内容，本篇文章主要讲一下上篇文章的DLL（地址：https://www.52hb.com/thread-1723-1-1.html）使用脚本脱壳及重定位地址的查找。好吧，这里不多说了，直接上分析过程。首先已经知道了Aspack壳的动态链接库（DLL）文件的重定位地址搜索以下代码就可迅速找到重定位地址：

1

好的，这个重定位地址也就是sub ecx，0x8；shr  ecx，1这里就是关键点，这两个前面的机器码和在一起就是83E908D1E9，那么就可以在脚本编辑器中进行写这段脚本了。

1. Var  Relocation                                   //存放重定位地址
   
2. Var aa                                                 //声明变量
   
3. FIND  eip,#83E908D1E9#                  //搜索上面那段代码
   
4. MOV  aa,$RESULT                             //将搜索的eip地址给aa，也就是图上的771f9处
   
5. MSG  aa                                            //弹出aa
   

复制代码

      好的，这段脚本已经完工了，那么还说了我们要将断点设置在771C4处的je跳转出，那么已经获取了771F9处的地址，要找到771C4很容易就找到了，因为两者相差35，我们只需要将771F9-35=771C4了，好的这里已经知道了思路。开始写下一段设断点脚本

1. SUB  aa,35                                       //771C4的地址处
   
2. BP   aa                                             //在771C4处下断点
   
3. RUN                                              //让程序跑一下，就会段在771C4处
   

复制代码

       这样程序就段在了771C4位置处，从771C4到771DC的magic jmp处只需要单步走4次就好了，单步到了magic jmp后不能让这个跳转跳，这时候我们可以改变ZF标志位为0，这样跳转就不会跳了

2

        脚本实现单步走：

1. STO
   
2. STO
   
3. STO
   
4. STO
   
5. MOV        ！ZF，0                          //改变ZF标志位为0
   

复制代码

      通过上图可以看到，magic jmp没有跳过之后再进行单步4下就可以到达存放重定位地址的地方，这时候我们只需要取出[ebp+539]里面的值就好，因为里面存放的就是重定位地址。

1. STO                                                  //单步走四次
   
2. STO
   
3. STO
   
4. STO         
   
5. MOV Relocation,ebp                     //将ebp地址给了Relocation变量
   
6. ADD Relocation,539                     //将Relocation+539
   
7. MOV Relocation,[Relocation]      //这是取出来的就是ebp+539的值，程序中是70000
   
8. MSG Relocation                           //弹出这个70000
   
9. BC                                                  //清楚断点
   

复制代码

          好的，已经找到了重定位的地址之后，就可以向下发现规律，我们发现程序到达OEP之前的时候有一个popad，如下图所示：

3

    那么就可以用这个当做关键点，查找popad：     

1. FINDOP eip,#61#                //从当前位置opcode的61指令
   
2. MOV bb,$RESULT
   
3. MSG bb
   
4. BP bb                                  //下断点
   

复制代码

下好了断点之后将程序运行起来，段在上面的断点处只需要单步走4次就到了程序的OEP，然后退出脚本就可以了。

1. RUN                                 //运行程序                                       
   
2. STO                                 //单步走
   
3. STO
   
4. STO
   
5. STO
   
6. BC                                  //清楚断点
   
7. RET                                //返回
   

复制代码

完整的脚本如下所示：

1. VAR Relocation
   
2. VAR aa
   
3. VAR bb
   
4. FIND eip,#83E908D1E9#
   
5. MOV aa,$RESULT
   
6. MSG aa
   
7. SUB aa,35
   
8. BP aa
   
9. RUN
   
10. STO
    
11. STO
    
12. STO
    
13. STO
    
14. MOV !ZF,0
    
15. STO
    
16. STO
    
17. STO
    
18. STO         
    
19. MOV Relocation,ebp
    
20. ADD Relocation,539
    
21. MOV Relocation,[Relocation]
    
22. MSG Relocation
    
23. BC
    
24. FINDOP eip,#61#
    
25. MOV bb,$RESULT
    
26. MSG bb
    
27. BP bb
    
28. RUN
    
29. STO
    
30. STO
    
31. STO
    
32. STO
    
33. MSG "欢迎来到OEP，By：BattleHeart"
    
34. BC
    
35. RET
    

复制代码

程序运行结果：

这是第一个Msg弹出来的是查找的sub ecx，0x8；shr  ecx，1后的eip的位置：

4

第二个msg是重定位地址

5

第三个msg就是弹出的popad的地址处：

6

这样点击确认后就到了程序的OEP处；

7

真心不错，我发现楼主的教程制作的非常精细。

发现一个大牛

学习一下，争取早日学会

楼主真是太厉害了，小白真心需要多学习啊

Dean 发表于 2014-10-30 08:49
学习一下，争取早日学会

恩，一起努力~~~

bigeorry 发表于 2014-10-30 09:33
楼主真是太厉害了，小白真心需要多学习啊

哪有，一起努力~~~

看看大牛长什么样 顺便兜售瓜子饮料爆米花~

大牛你好  大牛再见

LWJ一辈子 发表于 2014-10-30 13:43
大牛你好  大牛再见

别闹！别闹！