软件简介:
" ~5 {* C0 |' U# R4 o$ U. ?) I: F
4 K6 M$ z3 @& j(注意:这是语音教程,请打开您的音响,并且使用1024*768的屏幕分辨率来观看本教程!)+ M1 H8 W: C9 k8 A! w+ W
教程名称:脱壳常用方法总结(1)
- ]8 R7 U! i( j- P4 {$ F/ n主讲:低调小飞. [* D3 f" V9 k5 |
' Y, w1 W* d: F* a+ j
二、常见脱壳方法1 v7 F; A! i6 z7 w; r! ^
! p4 D% D4 E; X: \4 S8 ~预备知识 e3 r8 B5 z! ]
1.PUSHAD (压栈) 代表程序的入口点,
% Z- ]7 X! s5 n2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近
; J2 w* o8 w5 Q4 A+ D3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP/FOEP),只要我们找到程序真正的OEP,就可以立刻脱壳。2 H9 H% j3 Q5 T; d$ T& S9 K" Q
/ d* X# L$ |. O5 f! M! n
方法一:单步跟踪法
- l+ m% C g" Y9 o9 g1.用OD载入,点不分析代码!
' s) l0 T: X/ D5 y/ s! V3 P2.单步向下跟踪F8,实现向下的跳。也就是说向上的跳不让其实现!(通过F4): M0 C0 z! A; N, `
3.遇到程序往回跳的(包括循环),我们在下一句代码处按F4(或者右健单击代码,选择断点运行到所选)
7 `5 C0 |& ~) b# f/ _: S6 G/ L4.绿色线条表示跳转没实现,不用理会,红色线条表示跳转已经实现!* ^( V- P+ O( w+ b6 W+ D
5.如果刚载入程序,在附近就有一个CALL的,我们就F7跟进去,不然程序很容易跑飞,这样很快就能到程序的OEP3 J5 e8 [4 o C( C; L$ L
6.在跟踪的时候,如果运行到某个CALL程序就运行的,就在这个CALL中F7进入
! n# z- r4 Y7 g2 d0 F7.一般有很大的跳转(大跨段),比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN的一般很快就会到程序的OEP。
: C. J7 T- ]7 B! I& d! [Btw:在有些壳无法向下跟踪的时候,我们可以在附近找到没有实现的大跳转,右键--跟随,然后F2下断,Shift+F9运行停在跟随的位置,再取消断点,继续F8单步跟踪。一般情况下可以轻松到达OEP!7 N% b$ J3 p) ?5 e5 ~: `7 n
8 J1 ^- x: d8 N9 {$ K方法二:ESP定律法; G& d T! ^* c* l; L
ESP定理脱壳(ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了!)
$ Y; j: a7 ^8 l' r% A1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突现(变成红色)。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值)1 i- b4 Y5 ^/ N1 b4 v3 n4 d* B
2.在命令行下:dd XXXXXXXX(指在当前代码中的ESP地址,或者是hr XXXXXXXX),按回车!
! t: Q$ t w9 s1 j2 @. O( K& [, m3.选中下断的地址,断点---硬件访---WORD断点。2 s/ n; h# |7 g5 n9 ~9 S) T
4.按一下F9运行程序,直接来到了跳转处,按下F8,到达程序OEP。- ?9 {2 ?1 E0 A4 L
方法三:内存镜像法
6 |: ?/ J- O% b" Z, @' H1:用OD打开软件!
1 v" m+ J4 R% w1 ~4 M2:点击选项调试选项异常,把里面的忽略全部上!CTRL+F2重载下程序!
1 U( G. c. t. G" ^% K+ k( E' r3:按ALT+M,打开内存镜象,找到程序的第一个.rsrc.按F2下断点,然后按SHIFT+F9运行到断点,接着再按ALT+M,打开内存镜象,找到程序的第一个.rsrc.上面的.CODE(也就是00401000处),按F2下断点!然后按SHIFT+F9(或者是在没异常情况下按F9),直接到达程序OEP!
0 d* @" @: e+ {1 c
1 ^# Q0 I6 W* C! Z8 X1 n方法四:一步到达OEP
" Y d0 S: j& r2 }* C$ A1.开始按Ctrl+F,输入:popad(只适合少数壳,包括UPX,ASPACK壳),然后按下F2,F9运行到此处
$ w! z. C9 s, i& e3 R$ M2.来到大跳转处,点下F8,到达OEP!5 G( } q6 a8 H% z4 Y d' Y
方法五:最后一次异常法
1 Q5 G+ b! U0 {. y1 e6 W1:用OD打开软件8 ^$ q$ X p& L' Z
2:点击选项调试选项异常,把里面的全部去掉!CTRL+F2重载下程序
; J7 P8 G. V" _' q# u8 U: Z9 E3:一开始程序就是一个跳转,在这里我们按SHIFT+F9,直到程序运行,记下从开始按SHIFT+F9到程序运行的次数m!
" h7 P9 g8 i. |; L4:CTRL+F2重载程序,按SHIFT+F9(这次按的次数为程序运行的次数m-1次)% |' p2 E) H p! p3 s- T
5:在OD的右下角我们看见有一个SE 句柄,这时我们按CTRL+G,输入SE 句柄前的地址!
. R& E4 v8 L7 b6:按F2下断点!然后按SHIFT+F9来到断点处!
- a9 T" D6 G5 B7 a$ n5 ?7:去掉断点,按F8慢慢向下走!
' K5 J0 I/ W7 u2 H2 ?6 r8 x- I8:到达程序的OEP!
# h H! h C s7 v方法六:模拟跟踪法
6 G$ C m4 @) \3 `8 c; C) w b1:先试运行,跟踪一下程序,看有没有SEH暗桩之类
0 `3 t2 _2 J1 [2:ALT+M打开内存镜像,找到(包含=SFX,imports,relocations)
* X i2 l6 Q8 ] x5 P0 J* O) c内存镜像,项目 305 j6 }0 i1 m7 }; W2 a6 ?
地址=0054B000
: z; s% T1 W& A, N9 V- ^7 G6 c大小=00002000 (8192.): g. i) s7 m& ^9 ~% |4 V7 p
Owner=check 00400000
2 [7 c+ s0 h& \( k( W8 R区段=.aspack8 c t) ~& U' [
包含=SFX,imports,relocations. Z6 [ h) c q0 D$ E
类型=Imag 01001002$ N. _; {7 O o/ k- S0 P
访问=R
+ v7 @8 G. O. c9 J3 t+ M1 T2 u# ~初始访问=RWE
0 |7 m' Y/ h6 B* s" d
/ J1 F: _" J# A1 ~0 N3:地址为0054B000,如是我们在命令行输入tc eip0054B000,回车,正在跟踪ing。。& {9 o! O* G2 K' D
Btw:大家在使用这个方法的时候,要理解他是要在怎么样的情况下才可以使用
/ w g1 l# ?/ V( H方法七:SFX法(超快法)/ L: h! Q G9 W( l
1:设置OD,忽略所有异常,也就是说异常选项卡里面都打上勾! Y; j2 g: n# Q6 v2 O) `0 z2 U
2:切换到SFX选项卡,选择字节模式跟踪实际入口(速度非常慢),确定。$ q9 I6 B4 H4 {' ]
3:重载程序(如果跳出是否压缩代码?选择否,OD直接到达OEP), X W; B6 c; O
Btw:这种方法不要滥用得好,锻炼能力为妙。
& k! n. m$ G0 U$ V, J4 H7 Z) S. H0 o
QQ:176624470
7 b: i& e+ E E$ j9 n: }" ]=============================$ ]( d; o+ n. B/ H0 W
41259640低調小飛技術交流群㈡3 K' l. H% S8 e: L
41209575低調小飛技術交流群㈢
2 I7 S1 t, G. P- i- ]5 E" b) ~* G41209451低調小飛技術交流群㈣
+ B- c$ u" `2 O9 }; G/ [22387823低調小飛技術交流群㈤$ a7 j' X1 [2 s
16599303低調小飛技術交流群㈥# S$ N8 O2 [. l0 ?: m0 B4 k- j Q
16639680低調小飛技術交流群㈦
, x% ^5 H* C$ z. `; d- _41209297低調小飛技術交流群㈧/ H( {5 J0 ^6 a* v0 z8 L9 E R
下载地址:
|
天龙八部在线充值脚本和支持在线充值的Bill
