简单脱壳教程笔记(4)---手脱ASPACK壳

           本笔记是针对ximo早期发的脱壳基础视频教程，整理的笔记。

       ximo早期发的脱壳基础视频教程 下载地址如下：          

 http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E8%A7%86%E9%A2%91%E6%95%99%E7%A8%8B/ximo%e8%84%b1%e5%a3%b3%e5%9f%ba%e7%a1%80.7z

        本笔记用到的工具下载地址：

http://download.csdn.net/detail/obuyiseng/9466056

简介：

AsPack是高效的Win32可执行程序压缩工具，能对程序员开发的32位Windows可执行程序进行压缩，使最终文件减小达70%！目前针对ASPACk所开发的脱壳工具软件也有许多，包括ASPACK ATRIPPER 、ASPACKDIE 、ASPROTECT等 .

     脱壳：

     工具：

               ExeinfoPE或PEid、OD、LordPE、ImportREConstructor

     脱壳文件：

              02.QQ个性网名昵称查看器_ASPACK.exe

      

     笔记：

         1、使用ExeinfoPE或PEid确定是否加壳

2、寻找OEP

我们可以使用单步跟踪、ESP定律、一步直达、2次内存镜像等方法，由于这四种前面已经总结过，所以，我们我们主要介绍

方法5：模拟跟踪 方法6：SFX两种方法。由于有特性点，所以单步跟踪还需要说下。

            方法1：单步跟踪  
         

                 此时在call的位置按 F8会跑飞了，那么我们重新运行按 F7进入，然后再单步即可。

                

                 call后爆出程序 跑飞了 重载 call 时跟进(单步左边的按钮 F7) 继续单步
                  经验 在PE头附近的call基本上会跑飞 所以遇到直接F7

            

              OEP入口

             

 
            方法2：ESP定律  
                  跳到后可以 F2再运行再F2 （估计这三个动作相当于一个F4）
            方法3：一步直达 
                  ctrl+F 输入popad 查找下一个（ctrl+L）
            方法4：2次内存镜像
                  Alt+M 找到程序块的.csrc F2 运行 alt+M 找到地址00401000 F2 运行 出现OEP

           方法5：模拟跟踪
                 在内存板块（Alt+M） 找到 “包含 SFX,输入表,重定位” 这行后，

                

            
                在命令行处输入 tc eip<xxxxxx（aspack处地址）  左上角显示跟踪后 点击运行 点了几次后找到OEP

                

                 等待就调到OEP了

               

          方法6：SFX   模拟跟踪
                   选项 调试选项 SFX 选择 块方式跟踪，然后重新载入程序，就会发现OD自动调整到了OEP的位置（使用完后，恢复默认设置）