ASPack 2.12 压缩壳脱壳

前言：ASPack 2.12 脱壳笔记

首先先查壳，如下图所示，可以看到的是ASPack 2.12

载入调试器中可以看到开头为PUSHAD，首先直接用ESP定律来进行尝试来到OEP的位置

通过ESP定律来到如下的位置，堆栈观察起始一样，那么这里大概率就是OEP了

接着将OEP为起始位置，将程序进行转储出来，尝试运行可以发现报错0xC0000005，看到C05的话，大概率就是IAT表或者重定位表的问题了

因为在XP这里就直接忽略重定位的问题了，这里来看下IAT表的情况，如下图所示，可以确定是IAT表的问题，地址都直接被写成了函数地址，那肯定就会导致程序加载，操作系统无法填充IAT表了

这里来进行修复，将壳程序（来到OEP的状态下），用importREC来进行修复，首先先定位当前的IAT表中的函数地址，如下图所示

这里会看到奇怪的部分，你会发现这个IAT表其中一部分不是填充的函数的地址

引发上面的就如下几种情况，但是还是得具体问题具体分析

1、一种是壳程序故意进行破坏来干扰你，但这些其实就是没用的数据，这里的话可以直接来进行修复先，将没用的数据直接进行剔除即可

2、一种是壳程序原来部分的IAT表进行了重定向，这个时候就需要进行寻找修改重定向的位置让其取消修改，这样就能保证IAT的无损修复

3、还有一种的话就是本身就这样子，这里的话可以直接来进行修复先，将没用的数据直接进行剔除即可

第一个加载的DLL为user32.dll，所以这里可以确定第一个导入表就是user32.dll，起始地址为0040119C

结束地址为0x401218

那么其中IAT表的大小就是401218-40119C=7C，如下图所示

这里先将其中间的数据当前干扰数据直接进行剔除，然后进行修复IAT表

接着就是进行修正转储

但是你运行该程序会发现还是有问题，如下图所示，你会发现0x00804000这个地址就是不存在的

后面发现是importREC中OEP填错了，应该是00004000才对，然后重新修复下，重新运行，现在可以了，如下图所示