Thebat!139脱壳详情及对Asprotect加壳保护的一点小结_安全中国

Thebat!139脱壳详情及对Asprotect加壳保护的一点小结

小弟本想脱thebat141的壳的，但小弟下载的thebat141却没有加壳，没办法，还是拿thebat139开刀了。

如果小弟下面的内容有错漏的地方，请给小弟指正。

小弟的脱壳方法和冰毒的不同，他的方法我用不了，我用Procdump32脱不了thebat的壳。

废话少说，let’s go!

所用工具：soft-ice405、icedump6015、procdump1.6.2、ultraedit5.0。

首先加载softice，再加载icedump。运行procdump32，点击PE Editor，选择thebat.exe

文件，我们要记一下数据了：size of image:00314000  image base:00400000，

点击sections，记下.idata的数据：virtual siza:00003000  virtual offset:0022E000 ，这样我们

可以知道.idata在内存中的地址为：0062E000，长度为：3000

启动Symbol Loader，载入thebat.exe（加载过icedump后，softice可以成功拦截thebat)，点击一下Load，

马上被拦截，如下：

XXX:006FF001    PUSHAD  **第一个PUSHAD指令**

XXX:006FF002    CALL  006FF008  按F8进入

XXX:006FF007    NOP

XXX:006FF008    POP  EBP 按F10一直来到：

XXX:006FF0D6    CALL  006FF0DE  按F8进入

在这之后的一段程序要走的小心一点，我建议用F8，如果离开了thebat的就按一下F12，然后再按F8，

一直来到：

XXX:006FFA3B    PUSHAD  **第二个PUSHAD指令**    改按F10一直来到：

XXX:006FFB6C    POPAD    **和第二个PUSHAD指令是一对**

XXX:006FFB6D    POP EBP

XXX:006FFB6E    RET  0008  这个CALL走完了，来到：

XXX:006FF09F    MOV  ECX，EAX  按F10来到：

XXX:006FF0D6    CALL  006FF0DE  按F8进入，然后一直按F10来到：

XXX:006FFA3B    PUSHAD  **第三个PUSHAD指令** （难道又回去了？当然不是。）按F10直到：

XXX:006FFB6C    POPAD    **和第三个PUSHAD指令是一对**

XXX:006FFB6D    POP  EBP

XXX:006FFB6E    RET  0008 走完这个CALL来到：

XXX:006FF1D3    PUSH  04

XXX:006FF1D5    PUSH  00001000  按F10一直到：

XXX:006FF218    CALL  006FF220  按F8进入，之后按F10一直到：

XXX:006FF2A2    CALL  006FF2AA  这里开始一直按F8，如果离开了thebat，就按一下F12，再按F8来到：

XXX:0099E001    PUSHAD  **第四个PUSHAD指令** F10一直来到：

XXX:0099E5C5    POPAD    **和第四个PUSHAD指令是一对**

1 2 下一页