实验目的
1、学会使用相关软件工具,手动脱ASPack壳。 2、不要用PEiD查入口,单步跟踪,提高手动找入口能力。
实验内容
手动对文件“ASPack 2.12 - Alexey Solodovnikov.exe”进行脱壳。
实验环境描述
L005003003winxp
实验步骤
1、双击打开桌面的 PEiD.exe,对ASPack 2.12 - Alexey Solodovnikov.exe进行查壳,看一下是什么类型的壳,由下图可知该壳是ASPack壳(压缩壳)
2、双击打开桌面的 OD,将ASPack 2.12 - Alexey Solodovnikov.exe载入OD,载入OD的方法有两种:第一种:通过菜单栏文件打开;第二种:直接将其拖入OD。
3、用ESP定律脱壳,单步跳过(F8),进入下一步,发现在寄存器窗口里,ESP变成红色,右键单击ESP选择在数据窗口跟随
5、下硬件访问断点(Word)
6、查看断点
6、运行(F9),执行到断点处
7、单步跳过(F8)
8、连续按两次单步跳过(F8),到达OEP,现在可以脱壳了
9、用OD自带的脱壳工具进行脱壳,勿忘脱壳之前一定要删除断点
(1)、单击获取EIP作为OEP按钮
(2)、单击脱壳按钮,选择脱完之后的壳存放的位置以及脱完壳之后文件的名字,保存
(3)、在桌面文件夹下可以看到新生成的ASPack.exe文件,即脱壳之后的文件
10、PEID查看脱壳是否成功或者直接双击打开文件(脱壳成功文件可以打开),下图为成功脱壳
