冰凌汇编

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 63|回复: 0
收起左侧

[原创] Runtime Software NtExplorer 脱壳

[复制链接]
Honeys 发表于 2022-5-17 15:53:40

准备工作

运行环境WIN7
涉及工具ExeinfoPe或peid,ODV1.10,ImportREC,Aspr2.XXunpackerv1.15SC.osc
教程类型脱壳,算法分析等
是否讲解思路和原理是 (讲解思路原理可获得精华)

以下为图文内容
原版程序:有注册码,但因为加壳无法汉化资源,因此进行脱壳。
Runtime Software NtExplorer 脱壳 - Honeys_冰凌汇编

开始调试

准备好工具ExeinfoPepeid,查壳为ASprotect
Runtime Software NtExplorer 脱壳 - Honeys_冰凌汇编
Runtime Software NtExplorer 脱壳 - Honeys_冰凌汇编
准备工具OllyDbg V1.10,ImportREC V1.6,脱壳脚本Aspr2.XX_unpacker_v1.15SC.osc

脱壳脚本在 https://github.com/dubuqingfeng/ollydbg-script 下载。

OllyDbg载入NtExplorer.exe,调用脚本Aspr2.XX_unpacker_v1.15SC.osc,生成 de_NtExplorer.exe 文件。
Runtime Software NtExplorer 脱壳 - Honeys_冰凌汇编

获取脚本记录,获取了OEP 的相对地址 = 00213B78

Script Log Window
Address    Message
401000     cbase: 00401000 | NtExplor.<ModuleEntryPoint>
401000     csize: 00213000
401000     cbase: 00401000 | NtExplor.<ModuleEntryPoint>
401000     csize: 00213000
401000     cbase: 00401000 | NtExplor.<ModuleEntryPoint>
401000     csize: 00213000
292777     freeloc: 00230000
2C579E     AsprAPIloc: 002D269C
2C579E     Aspr1stthunk: 00629B9C
2B600C     SDK 偷代码区段 = 00000002
2CFA9C     EmuAddr: 00613D10
2CFA9C     这版的 Asprotect 其 SDk API 总数 = 0000000D
613B78     SDK 偷窃代码区段地址 = 033B0000
613B78     SDK 偷窃代码区段地址 = 033C0000
613B78     IAT 的地址 = 0062921C
613B78     IAT 的相对地址 = 0022921C
613B78     IAT 的大小 = 00000988
613B78     OEP 的地址 = 00613B78
613B78     OEP 的相对地址 = 00213B78

不关闭OllyDbg,运行ImportREC,进程中选择 NtExplorer后,
在OEP中输入相对地址  00213B78,点右侧按钮,再点获取输入表,
然后恢复抓取文件,选择 de_NtExplorer.exe 文件,重建IAT输入表输出脱壳的可执行文件de_NtExplorer_.exe
Runtime Software NtExplorer 脱壳 - Honeys_冰凌汇编

deNtExplorer.exe已经成功脱壳,但无法注册了????? (这个怎么办呢?),可以对deNtExplorer.exe资源进行编辑汉化了。
Runtime Software NtExplorer 脱壳 - Honeys_冰凌汇编


本帖最后由 Honeys 于 2022-5-17 15:55 编辑
冰凌汇编免责声明
以上内容均来自网友转发或原创,如存在侵权请发送到站方邮件9003554@qq.com处理。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|小黑屋|站点统计|Archiver|小黑屋|RSS|冰凌汇编 ( 滇ICP备2022002049号 滇公网安备 53032102000029号)|网站地图

GMT+8, 2022-9-25 06:28 , Processed in 0.137702 second(s), 8 queries , Redis On.

冰凌汇编 - 建立于2021年12月20日

Powered by Discuz! © 2001-2022 Comsenz Inc.

快速回复 返回顶部 返回列表