脱壳之aspack压缩壳

一.脱壳机名字的由来skylly's CoolDumpper,借用了看雪论坛里高人某个让人流口水的工具的名字界面也是盗版的CoolDumpper,不过本人盗版技术不高,做成了个四不像～～二.脱壳机的原理由以下几大要部分组成,1.侦壳功能.完全拷贝自看雪论坛“任平生”的代码2.Dummpper(进程转存)初期,完全拷贝自lenus的lenus's Dummper代码,现在为了适应脱壳的需要,发现原来的代码对非标准格式的PE文件的处理有些小问题,所以代码基本都重写过了,但是基本处理步骤还是一致的,外表上看不出来3.cooldebugger plugin(调试插件)完全自主开发的插件,说是调试器其实没有用调试，而是注入,然后进行一些最简单的内存操作，没有什么技术含量,可以完美躲过调试器检测的壳，对于内存检验比较强的壳可能不是很好用。4.真正意义上的调试器用最简单的调试API做的一个具有基本功能的调试器，目前还不能用于脱壳，只是一个玩具，为了将来扩展用的。但是hook api始终不是很妥当，总会让壳有机可乘，以后可能会考虑加入驱动,驱动最让我不放心的是它的稳定性。三，关于源码由于还在开发中，暂不开源（主要是怕被人拿去篡改,反而让人以为他是正宗,我是盗版）等到我不再开发时，会开放全部源代码,技术这东西，共享才是王道。

四。使用说明。我想不用说太多了吧，选择目标文件后(支持拖放),再选择对应的插件，再点击脱壳按钮就可以了。可以说是接近傻瓜化了...几个子功能说明:详细日志:是调试器用的PE标准化：是对某些被改得乱七八糟的壳(如upack)进行简单的PE修复移除自校验:这个功能可以说是没有设计好,不同的壳自检验的地方不一样,所以处理也应该不一样，可按照现有的工作模式又不可能把它做到plugin(插件)里面去,但是，总之我会加进去的。第x次调用API中断:这个功能是从CoolDumpper那儿抄袭界面遗留下来的,光有界面，未实现功能，将来如果有自动脱壳搞不定的壳时，可能可以把这个地方扩展成手动脱壳。OEP输入框和IAT输入框:功能已经弱化，由脱壳插件自动完成。纠正映象大小:功能已经弱化,已经由dumpper自动完成。五。关于private版本.由于种种原因,不再发布public版本,仅作为私下交流之用。所谓私下交流，可以算一种"精华"门槛吧.1.看雪论坛或者一蓑烟雨,30精以上的朋友(高手)或者500帖以上的朋友(超级水牛),或者30贴以内且精华率在1/3以上的(超级高手)随时可以向我索要最新版。不过我相信高手们只会把我这个东西当玩具玩玩而已。

2.在使用这个脱壳机过程中遇到比较严重的问题或者不能脱的壳,可以来E-mail和我交流,欢迎技术交流，谢绝任何形式的脱壳请求,因为我只是个菜鸟。对于有价值的来信，我会酌情回复最新版脱壳机。得到这个脱壳机的人，任由其处置。六。开发目标开发常见压缩壳和加密壳的插件并实现自动脱壳。压缩壳插件做十个左右asp压缩壳，加密壳插件做二十个左右。压缩壳插件:upx, upack, aspack, nspack, mew, hmimys, pecompact, expressor, fsg, kbys, packman, PEncrypt(已经基本完成。)加密壳插件:(还没想好，暂定, 刚刚开始开发)pe-armor, armadillo, aspr, acpr, telcok, execrypt, pelock, pc-guard, morphine, safedisc,themida, enigma, obsidium, starforce, yoda_s_cryptor, epe, pespin, svkp, sdp..............预估主程序最终版本版本号:2.0预估所有插件最终版本号:0.3 已知bug: 1.由于修复输入表是用的ImpRec.dll这个动态链接库，我没有源码，它在处理某些IAT不连续的程序时，获取的IAT的大小有问题,所以暂时还没有解决方案来对付,等我复习好输入表结构，以后脱壳机就自己来重建输入表了，呵呵。2.无法对付多层壳.3.处理自校验有问题,请不要随便选中，否则后果自负现在发布的这个版本仅仅代表了一个脱壳机的起步阶段,当玩具吧。

（编辑：520站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!