[给破解菜鸟的手记]脱壳之压缩壳

玄宵

看到了10页，也么发现几篇破文，不知道是版规还是其他原因，看到了一些朋友问了脱壳的问题，我就给大家说一下吧。
有兴趣的很容易学会的，求人不如求自己对不对~~~~~~~~
压缩壳之要是不被处理过的，是最好脱的。
这里主要用OD和LORDPE，IMPORTREC三个工具。工具去BAIDU找很容易找到的。
压缩壳我只说两种，其它类似：
ASPACK：
//------------------------------------------------------------------------------------------
0046D001 >  60              pushad   //一开始进入到这里，再往下看看估计就是ASPACK壳
0046D002    E8 02000000     call    0046D009
0046D007    EB 09           jmp     short 0046D012
0046D009    5D              pop     ebp
0046D00A    55              push    ebp
0046D00B    81ED 39394400   sub     ebp, 00443939
0046D011    C3              retn

//方法很简单。。PUSHAD是压载，找出载对应POPAD。。
0046D3B5    61              popad   //断点。。
0046D3B6    75 09           jnz     short 0046D3C1
0046D3B8    B8 01000100     mov     eax, 10001
0046D3BD    C2 0C01         retn    10C
0046D3C0    68 00000100     push    10000                            ; UNICODE "=::=::"
0046D3C5    C3              retn

//F8几下就到了OEP。。。实在是太简单了。
想学破解就需要从最简单的入手。熟悉汇编。。。。
才能顺手[em07][em07][em07]

下面是修复。。通常压缩壳不修复都可以了。

晕找了N久。。竟然么找到UPX壳的程序。。
只找到ASPACK的程序。
我简单说一下吧。。
就是F8跟。。。就是了。。不到1分钟就能到OEP。。。
[em08][em08]实在压缩壳么什么好说的。。。[em07]本来想多写点。。但是主题内容么什么好写的。

补UPX：
//----------------------------------------------------------------------------
004812FE    0000            add     byte ptr [eax], al
00481300 >  60              pushad
00481301    BE 15104500     mov     esi, 00451015
00481306    8DBE EBFFFAFF   lea     edi, dword ptr [esi+FFFAFFEB]
0048130C    57              push    edi
0048130D    83CD FF         or      ebp, FFFFFFFF
00481310    EB 10           jmp     short 00481322

一直F8就可以了
0048149D    61              popad    //到这里就算是到OEP了
0048149E    8D4424 80       lea     eax, dword ptr [esp-80]
004814A2    6A 00           push    0
004814A4    39C4            cmp     esp, eax
004814A6  ^ 75 FA           jnz     short 004814A2
004814A8    83EC 80         sub     esp, -80
004814AB  - E9 60FDF7FF     jmp     00401210

UPX多半POPAD后跟JMP或JZ或JNZ等之类的跳转



也不知道菜菜们学会了吗？？
反正我这个大菜菜是学会了。。。刚开始学会比较难入门的。。耐心点。就好了