ASProtect2.56脱壳分析及实例

文章预览

ASProtect 是远古四大猛壳之一。自 2010 年发布 ASProtect SKE 2.78 后便停止了更新。本文将分析其 2.56 版本。Stolen code 和 IAT 加密是 ASProtect 壳的显著特点。   ASProtect2.56脱壳分析   a. 寻找OEP Ⅰ. 方法一 通过未加壳文件的 OEP 地址来定位加壳文件中的 OEP 位置，并在此处设置硬件执行断点。当程序停在原始 OEP 后，注意观察 esp-0x18 这个位置。 点击 0xC514F7 并按下 Enter 键进入汇编窗口（如下图）。其中 call 0xC5066C 是最终跳转到 OEP 的函数。因此，可以提取周围的特征码来定位到该位置。 注： 0xC514F2 地址位于VirtualAlloc第二次申请大小为0x60000的内存区域，其相对位置为：0x414f2。 Ⅱ. 方法二 当程序运行到壳的入口时，在代码区的起始地址设置硬件写入断点。解码完成后，在代码区再次设置内存访问断点。 按 F9 运行，会断在如下位置： 接着进行回溯。在回溯过 ………………………………