駭客系列教程之脫殼的各種方法(轉)
駭客系列教程之脫殼的各種方法(轉)[@more@]先介紹一下脫殼的基本知識吧!
常見脫殼知識:
1.PUSHAD (壓棧) 代表程式的入口點;
2.POPAD (出棧) 代表程式的出口點,與PUSHAD想對應,一般找到這個OEP就在附近拉;
3.OEP:程式的入口點,軟體加殼就是隱藏了OEP(或者用了假的OEP),只要我們找到程式真正的OEP,就可以立刻脫殼。
開始正式介紹方法!!
方法一:
1.用OD載入,不分析程式碼;
2.單步向下跟蹤F8,是向下跳的讓它實現;
3.遇到程式往回跳的(包括迴圈),我們在下一句程式碼處按F4(或者右健單擊程式碼,選擇斷點——執行到所選);
4.綠色線條表示跳轉沒實現,不用理會,紅色線條表示跳轉已經實現;
5.如果剛載入程式,在附近就有一個CALL的,我們就F7跟進去,這樣很快就能到程式的OEP;
6.在跟蹤的時候,如果執行到某個CALL程式就執行的,就在這個CALL中F7進入;
7.一般有很大的跳轉,比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETE的一般很快就會到程式的OEP。
方法二:
ESP定理脫殼(ESP在OD的暫存器中,我們只要在命令列下ESP的硬體訪問斷點,就會一下來到程式的OEP了!)
1.開始就點F8,注意觀察OD右上角的暫存器中ESP有沒出現;
2.在命令列下:dd 0012FFA4(指在當前程式碼中的ESP地址),按回車;
3.選種下斷的地址,下硬體訪問WORD斷點;
4.按一下F9執行程式,直接來到了跳轉處,按下F8,到達程式OEP,脫殼。
方法三:
記憶體跟蹤:
1:用OD開啟軟體;
2:點選選項——除錯選項——異常,把裡面的忽略全部√上!CTRL+F2過載下程式;
3:按ALT+M,DA開啟記憶體鏡象,找到第一個.rsrc.按F2下斷點。然後按SHIFT+F9執行到斷點,接著再按ALT+M,DA開啟記憶體鏡象,找到.RSRC上面的CODE,按F2下斷點。然後按SHIFT+F9,直接到達程式OEP,脫殼!
方法四:
一步到達OEP(前輩們總結的經驗)。
1.開始按Ctrl+F,輸入:popad(只適合少數殼,包括ASPACK殼),然後按下F2,F9執行到此處;
2.來到大跳轉處,點下F8,脫殼之!
方法五:
1:用OD開啟軟體;
2:點選選項——除錯選項——異常,把裡面的√全部去掉!CTRL+F2過載下程式;
3:一開是程式就是一個跳轉,在這裡我們按SHIFT+F9,直到程式執行,記下從開始按F9到程式執行的次數;
4:CTRL+F2過載程式,按SHIFT+F9(次數為程式執行的次數-1次);
5:在OD的右下角我們看見有一個SE 控制程式碼,這時我們按CTRL+G,輸入SE 控制程式碼前的地址;
6:按F2下斷點,然後按SHIFT+F9來到斷點處;
7:去掉斷點,按F8慢慢向下走;
8:到達程式的OEP,脫殼!
常見脫殼知識:
1.PUSHAD (壓棧) 代表程式的入口點;
2.POPAD (出棧) 代表程式的出口點,與PUSHAD想對應,一般找到這個OEP就在附近拉;
3.OEP:程式的入口點,軟體加殼就是隱藏了OEP(或者用了假的OEP),只要我們找到程式真正的OEP,就可以立刻脫殼。
開始正式介紹方法!!
方法一:
1.用OD載入,不分析程式碼;
2.單步向下跟蹤F8,是向下跳的讓它實現;
3.遇到程式往回跳的(包括迴圈),我們在下一句程式碼處按F4(或者右健單擊程式碼,選擇斷點——執行到所選);
4.綠色線條表示跳轉沒實現,不用理會,紅色線條表示跳轉已經實現;
5.如果剛載入程式,在附近就有一個CALL的,我們就F7跟進去,這樣很快就能到程式的OEP;
6.在跟蹤的時候,如果執行到某個CALL程式就執行的,就在這個CALL中F7進入;
7.一般有很大的跳轉,比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETE的一般很快就會到程式的OEP。
方法二:
ESP定理脫殼(ESP在OD的暫存器中,我們只要在命令列下ESP的硬體訪問斷點,就會一下來到程式的OEP了!)
1.開始就點F8,注意觀察OD右上角的暫存器中ESP有沒出現;
2.在命令列下:dd 0012FFA4(指在當前程式碼中的ESP地址),按回車;
3.選種下斷的地址,下硬體訪問WORD斷點;
4.按一下F9執行程式,直接來到了跳轉處,按下F8,到達程式OEP,脫殼。
方法三:
記憶體跟蹤:
1:用OD開啟軟體;
2:點選選項——除錯選項——異常,把裡面的忽略全部√上!CTRL+F2過載下程式;
3:按ALT+M,DA開啟記憶體鏡象,找到第一個.rsrc.按F2下斷點。然後按SHIFT+F9執行到斷點,接著再按ALT+M,DA開啟記憶體鏡象,找到.RSRC上面的CODE,按F2下斷點。然後按SHIFT+F9,直接到達程式OEP,脫殼!
方法四:
一步到達OEP(前輩們總結的經驗)。
1.開始按Ctrl+F,輸入:popad(只適合少數殼,包括ASPACK殼),然後按下F2,F9執行到此處;
2.來到大跳轉處,點下F8,脫殼之!
方法五:
1:用OD開啟軟體;
2:點選選項——除錯選項——異常,把裡面的√全部去掉!CTRL+F2過載下程式;
3:一開是程式就是一個跳轉,在這裡我們按SHIFT+F9,直到程式執行,記下從開始按F9到程式執行的次數;
4:CTRL+F2過載程式,按SHIFT+F9(次數為程式執行的次數-1次);
5:在OD的右下角我們看見有一個SE 控制程式碼,這時我們按CTRL+G,輸入SE 控制程式碼前的地址;
6:按F2下斷點,然後按SHIFT+F9來到斷點處;
7:去掉斷點,按F8慢慢向下走;
8:到達程式的OEP,脫殼!
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10617542/viewspace-962324/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 駭客系列教程之暴力注入Explorer(轉)
- ExeStealth 常用脫殼方法 + ExeStealth V2.72主程式脫殼
- 殼的工作原理脫殼
- 寫給新手 - 淺談脫殼方法
- 玩轉陣列各種方法陣列
- 轉載:Petite 脫殼“標準”解決方法 (1千字)
- 壹次脫殼法――Armadillo 雙程式標準殼 快速脫殼
- VBExplorer.exe脫殼教程 附脫殼指令碼指令碼
- 中國駭客常用的八種工具 及其防禦方法(轉)
- 經驗心得:騙駭客的一種很有效的方法(轉)
- 脫殼----對用pecompact加殼的程式進行手動脫殼 (1千字)
- 股市風暴4.0的外殼分析與脫殼方法(一) (7千字)
- 駭客學堂:常用的九種網路攻擊方法(轉)
- 小甜餅 --- 有關新版Asprotect加殼程式的脫殼的又一種思路 (798字)
- 以殼解殼--SourceRescuer脫殼手記破解分析
- Armadillo 2.52加殼原理分析和改進的脫殼方法 (12千字)
- 脫殼基本知識
- SoftDefender主程式脫殼
- International CueClub主程式脫殼(Softwrap殼)
- 請教各位用Aspack V2.000加殼的軟體怎麼脫!!! (88字)
- 脫殼----對用Petite2.2加殼的程式進行手動脫殼的一點分析 (5千字)
- iOS逆向學習之五(加殼?脫殼?)iOS
- 惡意軟體的脫殼方法(二):弱加密演算法加密演算法
- 脫ASPack2.12加殼的DLL檔案簡便方法
- ☆Steel Box☆脫殼――taos的New Protection
- 一次簡單的脫殼
- 易格式可執行檔案脫殼方法一則
- 先分析,再脫殼(一)
- IconEdit2 脫殼
- 駭客知識之7種DoS攻擊方法簡述(轉)
- 基於合作教學的幾種教學方法
- 駭客新聞對DDD的各種吐槽和經驗分享
- 十、iOS逆向之《越獄砸殼/ipa脫殼》iOS
- C32Asm外殼脫殼分析筆記ASM筆記
- 破解教程之手脫UPX的DLL
- 談談如何使用加殼保護自己的軟體不被常用方法脫殼(2千字)
- 關於用ASProtect v1.3加殼軟體的脫殼方法體會 (5千字)
- 對Crunch v1.1主程式檔案的脫殼方法 ---ljtt