破解之多种方法脱ASP壳.doc

破解之多种方法脱ASP壳工具：PEID-经典查壳工具 OD -动态调试工具理论知识：所谓壳即软件作者为防止软件被调试破解所用的一种的保护方法，分为压缩壳和加密壳，就安全性和破解 复杂性来说，加密壳要比压缩壳厉害的多。 OD界面：左上角为CPU窗口，分别为地址，机器码，汇编代码，注释 右上角为寄存器窗口 左下角为内存窗口 右下角为当前堆栈情况和注释经常使用的快捷键：F2：在需要的地方下断点（INT3型断点） F3：选择打开程序 F4：运行到所选择的那一行 F7：单步进入 F8：单步跟踪 F9：执行程序（运行程序） USHAD （压栈） 代表程序的入口点, OPAD （出栈） 代表程序的出口点，与PUSHAD想对应，一般找到这个OEP就在附近 OEP：程序的入口点，软件加壳就是隐藏了OEP（或者用了假的OEP/FOEP），只要我们找到程序真 正的OEP，就可以立刻脱壳。二。开始破解1。单步跟踪法破解（最基本）载入PEID，显示：ASPack 2.12 - Alexey Solodovnikov显然是ASPpack2.12版本的壳，今天我们的目标就是它了OD载入程序停在0040D001 60 pushad0040D002 E8 03000000 call NotePad_.0040D00A0040D007 - E9 EB045D45 jmp 459DD4F70040D00C 55 push ebp0040D00D C3 retn0040D00E E8 01000000 call NotePad_.0040D0140040D013 EB 5D jmp short NotePad_.0040D072pushad：程序入口点call ：为调用即调用NotePad_.0040D00A这里用先用F8步进，F7进入call，继续F8步进，会遇到向下的箭头0040D008 /EB 04 jmp short NotePad_.0040D00E0040D00A |5D pop ebp0040D00B |45 inc ebp0040D00C |55 push ebp0040D00D |C3 retn0040D00E E8 01000000 call NotePad_.0040D014不用管它，我们破解断点只断向上的跳转到这里注意一下0040D008 /EB 04 jmp short NotePad_.0040D00E0040D00A |5D pop ebp0040D00B |45 inc ebp0040D00C |55 push ebp0040D00D |C3 retn0040D00E E8 01000000 call NotePad_.0040D0140040D013 EB 5D jmp short NotePad_.0040D0720040D015 BB EDFFFFFF mov ebx,-13注意这个call，要用F7进入，不然就要跑飞（程序运行起来）继续F8步进，直到0040D12F /74 2E je short NotePad_.0040D15F0040D131 |78 2C js short NotePad_.0040D15F0040D133 |AC lods byte ptr ds:esi0040D134 |3C E8 cmp al,0E80040D136 |74 0A je short NotePad_.0040D1420040D138 |EB 00 jmp short NotePad_.0040D13A0040D13A |3C E9 cmp al,0E90040D13C |74 04 je short NotePad_.0040D1420040D13E |43 inc ebx0040D13F |49 dec ecx0040D140 |EB EB jmp short NotePad_.0040D12D0040D142 |8B06 mov eax,dword ptr ds:esi向上的跳转，在向上箭头的下一行下断点，具体这么做：0040D142 8B06 mov eax,dword ptr ds:esi在这一行上点右键断点运行到选定位置F8继续步进以下还会遇到几处向上的跳转，仿照上述设置断点即可一直调试到这里 0040D3A9 8985 A8030000 mov dword ptr ss:ebp+3A8,eax0040D3AF 61 popad0040D3B0 75 08 jnz short NotePad_.0040D3BA0040D3B2 B8 01000000 mov eax,10040D3B7 C2 0C00 retn 0C0040D3BA 68 CC104000 push NotePad_.004010CC0040D3BF C3 retn0040D3C0 8B85 26040000 mov eax,dword ptr ss:ebp+426注意：0040D3BA 68 CC104000 push NotePad_.004010CC程序的OEP 原因：一般有很大的跳转（大跨段），比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN的一般很快就会到程序的OEP。上面有很大跳转，且存在RETN，可以判定 此处就是程序的OEP。可以直接脱壳！操作如下：在OEP处点右键-用OllyDump脱壳调试进程-入口点地址修正为OEP所在的地址（这里为10cc），重建输入表和方式可以任选一个，点脱壳-保存为1.exe用PEID查看， 显示Microsoft Visual C+ 6.0 SPx Method 1脱壳成功！2.ESP定律法ESP定理脱壳（ESP在OD的寄存器中，我们只要在命令行下ESP的硬件访问断点，就会一下来到程序的OEP了！）OD载入，F8，注意观察OD右上角寄存器中的ESP有没有突出（变红色）注：我们选择ESP是在关键句之后的第一个ESP值这里看可以看出ESP值是0012FFA4在OD右下角的命令处输入：DD 0012FFA4 回车在右下角堆栈情况里找到地址为 0012FFA4数字，点右键-断点-设置硬件访问断点-WORD（DWORD效果一样）F9运行程序-来到跳转处，按下F8，到达程序OEP0040D3B0 /75 08 jnz short NotePad_.0040D3BA0040D3B2 |B8 01000000 mov eax,10040D3B7 |C2 0C00 retn 0C0040D3BA 68 CC104000 push NotePad_.004010CC0040D3BF C3 retn脱壳就不做了。大家要在自己电脑试验下！3.内存镜像法用OD打开软点击选项调试选项异常，把里面的忽略全部上！CTRL+F2重载入程序打开内存镜像，找到程序的第一个.rsrc，这个的确定要看物主：NOTEPAD_可以看处是程序的，而其他就是 系统和调用系统的东东在程序的第一个.rsrc上方CODE处（即地址为0040100）设置断点（在其上点右键-设置访问中断），颜色突出（变红）然后F9运行程序这样会到一个地方。F8步进，遇到向上的跳转进行下断，不一会就会到程序的OEP4.最后一次异常法用OD打开软件点击选项调试选项异常，把里面的全部去掉！CTRL+F2重载下程序一开始程序就是一个跳转，在这里我们按SHIFT+F9，直到程序运行，记下从开始按SHIFT+F9到程序运行的次数3CTRL+F2重载程序，按SHIFT+F9（这次按的次数为程序运行的次数3-1次）这时你会在OD的右下角看到一个SE句柄，按CTRL+G，输入“SE