脱壳常用方法总结1

软件简介：

(注意:这是语音教程,请打开您的音响,并且使用1024*768的屏幕分辨率来观看本教程!)
教程名称:脱壳常用方法总结(1)
, B' I& G, T6 G3 P/ @主讲:低调小飞

; f1 o8 }6 W5 e4 k二、常见脱壳方法
) B) ^+ b, E% a! A# P# r
: l- p: V/ ~- N  S0 K$ n预备知识
1.PUSHAD （压栈） 代表程序的入口点,
2.POPAD （出栈） 代表程序的出口点，与PUSHAD想对应，一般找到这个OEP就在附近
3.OEP：程序的入口点，软件加壳就是隐藏了OEP（或者用了假的OEP/FOEP），只要我们找到程序真正的OEP，就可以立刻脱壳。
- y9 h7 h. V0 C, O. L" t9 ^
( A/ t2 A1 _" X' E/ k7 _方法一：单步跟踪法
4 n/ |  @4 v/ Q: w2 K9 x" P1.用OD载入，点不分析代码！
  [- w8 {' n5 Y4 k% z" C3 F: H1 _- g2.单步向下跟踪F8，实现向下的跳。也就是说向上的跳不让其实现！（通过F4）
3.遇到程序往回跳的（包括循环），我们在下一句代码处按F4（或者右健单击代码，选择断点运行到所选）
4.绿色线条表示跳转没实现，不用理会，红色线条表示跳转已经实现！
& d/ i+ \5 `, {, o5.如果刚载入程序，在附近就有一个CALL的，我们就F7跟进去，不然程序很容易跑飞，这样很快就能到程序的OEP
0 m0 y, P; x; y* Q0 S2 G, d6.在跟踪的时候，如果运行到某个CALL程序就运行的，就在这个CALL中F7进入
7.一般有很大的跳转（大跨段），比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN的一般很快就会到程序的OEP。
Btw:在有些壳无法向下跟踪的时候，我们可以在附近找到没有实现的大跳转，右键--跟随,然后F2下断，Shift+F9运行停在跟随的位置，再取消断点，继续F8单步跟踪。一般情况下可以轻松到达OEP！

方法二：ESP定律法
6 k/ h5 d; s% xESP定理脱壳（ESP在OD的寄存器中，我们只要在命令行下ESP的硬件访问断点，就会一下来到程序的OEP了！）
1.开始就点F8，注意观察OD右上角的寄存器中ESP有没突现（变成红色）。（这只是一般情况下，更确切的说我们选择的ESP值是关键句之后的第一个ESP值）
  B) }% A3 Q! o; |2.在命令行下：dd XXXXXXXX(指在当前代码中的ESP地址，或者是hr XXXXXXXX)，按回车！
( p2 \! N: b& J7 a$ k3.选中下断的地址，断点---硬件访---WORD断点。
4.按一下F9运行程序，直接来到了跳转处，按下F8，到达程序OEP。
- k# |1 n% P6 L" [9 T4 w# X# S5 ^方法三：内存镜像法
! ?, V6 y) r* q, i5 N+ o1：用OD打开软件！
2：点击选项调试选项异常，把里面的忽略全部上！CTRL+F2重载下程序！
3：按ALT+M,打开内存镜象，找到程序的第一个.rsrc.按F2下断点，然后按SHIFT+F9运行到断点，接着再按ALT+M,打开内存镜象，找到程序的第一个.rsrc.上面的.CODE（也就是00401000处），按F2下断点！然后按SHIFT+F9（或者是在没异常情况下按F9），直接到达程序OEP！

方法四：一步到达OEP
- R9 n; U! A" a7 V+ Y" l0 S1.开始按Ctrl+F,输入：popad（只适合少数壳，包括UPX，ASPACK壳），然后按下F2，F9运行到此处
6 E7 l& g! B5 d0 y2.来到大跳转处，点下F8，到达OEP！
; g8 a! q1 `. y$ {! q方法五：最后一次异常法
1 ]/ \: k$ F# N" k9 g8 F7 L1：用OD打开软件
2：点击选项调试选项异常，把里面的全部去掉！CTRL+F2重载下程序
: a' N$ _$ P, ]% g+ ]; p) s3：一开始程序就是一个跳转，在这里我们按SHIFT+F9，直到程序运行，记下从开始按SHIFT+F9到程序运行的次数m！
/ o5 f) Q& V/ Q  i: M4：CTRL+F2重载程序，按SHIFT+F9（这次按的次数为程序运行的次数m-1次）
3 `' C$ R& `. J- C6 H2 ^7 [% G! c% m3 R5：在OD的右下角我们看见有一个SE 句柄，这时我们按CTRL+G，输入SE 句柄前的地址！
1 E7 ?1 a+ @, P1 `  E- `5 j6：按F2下断点！然后按SHIFT+F9来到断点处！
7：去掉断点，按F8慢慢向下走！
/ E8 U5 _  Q6 {7 K& g8：到达程序的OEP！
方法六：模拟跟踪法
9 `5 D  D0 }. o6 J1：先试运行，跟踪一下程序，看有没有SEH暗桩之类
2：ALT+M打开内存镜像，找到（包含=SFX,imports,relocations）
# {. e4 x7 e3 b8 P: t) P4 t4 a5 w内存镜像，项目 30
3 ^1 s4 {6 |( C$ B& L- G地址=0054B000
大小=00002000 (8192.)
3 a$ w6 W+ n& @2 m# }  E- ~Owner=check 00400000
区段=.aspack
1 L  ~+ @  W) D* q3 T包含=SFX,imports,relocations
. p4 _6 `1 ?0 j- z类型=Imag 01001002
3 {4 z6 d$ t+ b0 l- B' z# ^: D5 _访问=R
4 B; X) N* @; H9 e' E' }初始访问=RWE

! U9 a5 ?; z7 ^2 C3：地址为0054B000，如是我们在命令行输入tc eip0054B000,回车，正在跟踪ing。。
Btw:大家在使用这个方法的时候，要理解他是要在怎么样的情况下才可以使用
+ b. C# U9 q# y0 |: R6 J方法七：SFX法(超快法)
+ h5 K# r3 w" @: e9 Y% d1：设置OD，忽略所有异常，也就是说异常选项卡里面都打上勾
1 s6 |  V% @0 ?4 r4 ?2：切换到SFX选项卡，选择字节模式跟踪实际入口（速度非常慢），确定。
3 N( n* h8 O; j+ k  ?: A, z( ]3：重载程序（如果跳出是否压缩代码？选择否，OD直接到达OEP）
Btw:这种方法不要滥用得好，锻炼能力为妙。

6 {; ~( q% q* |6 v8 mQQ:176624470
  [1 l/ c! F0 B=============================
# u7 P, S& @7 l4 b7 [$ b7 ^9 ?0 h41259640低調小飛技術交流群㈡
! O0 Y1 P; G+ T" U7 P. P41209575低調小飛技術交流群㈢
1 `  z8 _( [' l# U& w" _9 ^41209451低調小飛技術交流群㈣
- N2 d- i# h: _  f+ \# q9 r22387823低調小飛技術交流群㈤
5 h0 h1 w- d$ D' A$ V/ d2 o& k# O16599303低調小飛技術交流群㈥
16639680低調小飛技術交流群㈦
5 @7 q$ k: e" y8 H$ K- o41209297低調小飛技術交流群㈧
下载地址：

2008-8-18 16:50 上传 脱壳常用方法总结1.rar

下载权限:

版本vip会员

本地下载 检测资源   提取码: 需要终身vip或更高权限

有些游戏资源需要vip下载开通请点击开通vip