软件简介:
. `' j' v8 ?0 @" a) F: r) {( [0 _7 J* G% C' ]: E
(注意:这是语音教程,请打开您的音响,并且使用1024*768的屏幕分辨率来观看本教程!)8 L& J9 R- m B5 K
教程名称:脱壳常用方法总结(1)
! R% C0 B- t: [/ S! V1 F" x主讲:低调小飞5 Q: r8 i% @2 j8 {; z3 A* m7 l
d) e- I( d9 S* ]- r2 V
二、常见脱壳方法
7 M: @" A! c" }/ ?' Y$ A& l+ S
1 P) P, {, L5 \6 N+ D* p% u预备知识
+ q% m4 l! v% n5 U" p8 }/ X1.PUSHAD (压栈) 代表程序的入口点, l" q0 C. z3 I q' F- U
2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近
: T% v D" v1 ?5 X3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP/FOEP),只要我们找到程序真正的OEP,就可以立刻脱壳。4 i0 ?5 C4 f* r( ~- j
' L+ S- w+ Z1 e( j" [' m
方法一:单步跟踪法# ^6 A- Z; G) v9 o/ ^4 ?) x
1.用OD载入,点不分析代码!
0 P% d1 B$ w6 y5 J3 i( }$ \* K2.单步向下跟踪F8,实现向下的跳。也就是说向上的跳不让其实现!(通过F4)
4 j* v( {* a4 N# Q5 D6 J3.遇到程序往回跳的(包括循环),我们在下一句代码处按F4(或者右健单击代码,选择断点运行到所选)5 f3 _: u y7 X% M
4.绿色线条表示跳转没实现,不用理会,红色线条表示跳转已经实现!; G# ^- L4 C4 ?! _ V0 o
5.如果刚载入程序,在附近就有一个CALL的,我们就F7跟进去,不然程序很容易跑飞,这样很快就能到程序的OEP" N/ W* u/ K' t3 r5 F/ Z" t
6.在跟踪的时候,如果运行到某个CALL程序就运行的,就在这个CALL中F7进入5 p8 M: e9 R6 W( P. _ L7 N
7.一般有很大的跳转(大跨段),比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN的一般很快就会到程序的OEP。0 J: ]0 n5 O; S! @ r
Btw:在有些壳无法向下跟踪的时候,我们可以在附近找到没有实现的大跳转,右键--跟随,然后F2下断,Shift+F9运行停在跟随的位置,再取消断点,继续F8单步跟踪。一般情况下可以轻松到达OEP!
4 u/ }! Z% b; s! j% K( L8 G& {( @7 g" ^
! y9 Z) @4 z; ?& M2 a方法二:ESP定律法* V) F6 V- t" U
ESP定理脱壳(ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了!)
2 c, _# N) `8 P } l1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突现(变成红色)。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值)
' L! |3 N5 X. \* C, }5 P9 ]4 w6 A2.在命令行下:dd XXXXXXXX(指在当前代码中的ESP地址,或者是hr XXXXXXXX),按回车!
% S* Y) }' m6 `2 s) g6 Z' r: q: x& e3.选中下断的地址,断点---硬件访---WORD断点。3 ]( Z2 R x9 e+ \: Q) F) u6 A8 y% i
4.按一下F9运行程序,直接来到了跳转处,按下F8,到达程序OEP。
) ^0 h: l2 U h& v5 x7 U方法三:内存镜像法 A, @0 ]9 X5 o' R& y
1:用OD打开软件!
. Q3 `2 q( O7 }: [' q2:点击选项调试选项异常,把里面的忽略全部上!CTRL+F2重载下程序!/ f T( e1 U0 i) Y+ L* k1 S6 r
3:按ALT+M,打开内存镜象,找到程序的第一个.rsrc.按F2下断点,然后按SHIFT+F9运行到断点,接着再按ALT+M,打开内存镜象,找到程序的第一个.rsrc.上面的.CODE(也就是00401000处),按F2下断点!然后按SHIFT+F9(或者是在没异常情况下按F9),直接到达程序OEP!
3 M# w) Q; h1 ^: H; V8 ~- p' n. W( K' `6 U
方法四:一步到达OEP
5 H# J# W- R4 O/ v( v8 e8 x1.开始按Ctrl+F,输入:popad(只适合少数壳,包括UPX,ASPACK壳),然后按下F2,F9运行到此处( m1 f# H3 }! Y. P- A+ \; |, P
2.来到大跳转处,点下F8,到达OEP!/ A/ V7 |4 M F' v8 r8 A
方法五:最后一次异常法
0 @9 d7 H; l) k; Y1 {7 B$ X2 ^1:用OD打开软件
7 r+ M( ^6 J1 Y. X. L6 R6 O2:点击选项调试选项异常,把里面的全部去掉!CTRL+F2重载下程序
- B; b# ?5 f! j( \* O3:一开始程序就是一个跳转,在这里我们按SHIFT+F9,直到程序运行,记下从开始按SHIFT+F9到程序运行的次数m!- Q- e+ h% e1 E3 J" t
4:CTRL+F2重载程序,按SHIFT+F9(这次按的次数为程序运行的次数m-1次)! F* U! T# {1 R8 N! O0 {3 M* m. s
5:在OD的右下角我们看见有一个SE 句柄,这时我们按CTRL+G,输入SE 句柄前的地址!6 ~4 E* f1 ^: j" g0 L' E8 _' Q
6:按F2下断点!然后按SHIFT+F9来到断点处!
2 v/ e" \( U+ c' H" ]" T3 U7 t7:去掉断点,按F8慢慢向下走!5 u9 V. E. }2 y/ j& O* a3 Z
8:到达程序的OEP!+ I7 @3 d% }/ q" }. [5 U* P/ k, v0 R
方法六:模拟跟踪法; \2 B0 y3 ]4 p' i0 q# m
1:先试运行,跟踪一下程序,看有没有SEH暗桩之类* q$ f6 R" [( c. I' \5 X
2:ALT+M打开内存镜像,找到(包含=SFX,imports,relocations)
5 e, B" ]! Y* Y0 {- j( l内存镜像,项目 308 \, o0 N" I' {) Y- q& |
地址=0054B0004 f9 Y' O+ Z$ M7 b8 Z6 R D
大小=00002000 (8192.)
1 T+ q) n, g7 A% A! G* W- k& yOwner=check 00400000
) a' x7 L! l6 s: O区段=.aspack
/ C" x9 u4 u0 N. P- j& k b$ n包含=SFX,imports,relocations1 T9 t6 g' T3 s( [1 N7 n* P
类型=Imag 010010024 C/ ?1 {* y, D- K5 D8 d* y0 V1 C! r
访问=R9 b+ H/ l* M0 p& ~3 X
初始访问=RWE 9 N6 y/ g% S* s# r- t0 i
) w! M3 J7 \$ S2 m7 |/ x3 y h3:地址为0054B000,如是我们在命令行输入tc eip0054B000,回车,正在跟踪ing。。! v* ^2 Q' |3 Z5 d2 T
Btw:大家在使用这个方法的时候,要理解他是要在怎么样的情况下才可以使用
1 Z0 H1 v+ ^; z3 h: y方法七:SFX法(超快法)
/ r! [# _- u8 @3 W; [2 r u1:设置OD,忽略所有异常,也就是说异常选项卡里面都打上勾
( R- J8 L" ^# W( C( e" d1 i6 L2:切换到SFX选项卡,选择字节模式跟踪实际入口(速度非常慢),确定。
' |! M9 h' M m9 ~- @# |% D3:重载程序(如果跳出是否压缩代码?选择否,OD直接到达OEP)
6 X. F+ @" t# x- `. ^Btw:这种方法不要滥用得好,锻炼能力为妙。
/ X* p* E; N4 v; C, z* Z; C6 s T
QQ:176624470( U- q, J# e- H& b7 J2 g u
=============================7 m5 Y/ X7 r6 ]! ~/ M
41259640低調小飛技術交流群㈡
% q, `* ^ t1 i9 C4 s0 z9 G' r41209575低調小飛技術交流群㈢: a, }2 x& U, P6 g5 h* H- n9 |
41209451低調小飛技術交流群㈣
$ ]8 p$ q Z% T7 J0 F! k22387823低調小飛技術交流群㈤ y4 R9 A5 P/ b2 S4 `
16599303低調小飛技術交流群㈥
1 a7 E" ^4 X- X! ~1 ~7 T! Y16639680低調小飛技術交流群㈦
/ E& f: W7 A4 @) {41209297低調小飛技術交流群㈧
8 {' ^' }" y+ x5 [下载地址:
|
最新整理Linux手工服务端_末世策略塔防手游
