返回
普通壳脱壳方法和脱壳技巧

普通壳脱壳方法和脱壳技巧

ID:7859872

大小:34.00 KB

页数:6页

时间:2018-02-28

普通壳脱壳方法和脱壳技巧_第1页
普通壳脱壳方法和脱壳技巧_第2页
普通壳脱壳方法和脱壳技巧_第3页
普通壳脱壳方法和脱壳技巧_第4页
普通壳脱壳方法和脱壳技巧_第5页
资源描述:

《普通壳脱壳方法和脱壳技巧》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、普通壳的脱壳方法和脱壳技巧,叫新手少走弯路!普通壳的脱壳方法和脱壳技巧,叫新手少走弯路这篇文章,是我在之前在自学脱壳的时候,在笔记本是所做的脱壳总结;里面包括了各种壳的脱壳方法,最重要的是注释了什么壳用什么方法脱是最省时省力的方法。毕竟是一篇笔记,所以在顺序是或许会有些杂乱无章的感觉。还是请刚接触脱壳的朋友们将就一下,一个一个字的把它从笔记本是移到电脑上也不容易。首先,先对下文中将要讲到的几个地方做一下说明,避免一些刚接触脱壳的朋友因为不清楚它们的意思,而把时间花费在baidu和google上。常见脱壳知识:1.PUSHAD(压栈)代表程序的入口点2.POPAD(出栈)代表程

2、序的出口点,与PUSHAD相对应,一般找到这个,说明OEP可能就在附近3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP),只要我们找到程序真正的OEP,就可以立刻脱壳。脱壳的几种方法:方法一:单步跟踪方法二:ESP定律脱壳方法三:内存跟踪方法四:跟踪出口法方法五:最后一次异常法方法六:懒人脱壳法上面这些方法具体的操作我会在最后,在文章的最下面给出。想要具体了解的可以去看下,不过最后再看这个也是可以的。可以节省大家的时间。====================================================================

3、=============================第二部分,需要注意的几处重点ESP脱壳时,对于有关键提示的(如:Pushw或Pushad),一般选择关键提示下面那行地址中的ESP。懒方法脱壳,这种方法对压缩壳有效;对加密壳作用不大。“懒方法脱壳“在已开始的设置时需要注意(简化的设置步骤,详细的在文章最下面):1、首先,要忽略所有异常//忽略所有异常——这个是必须的2、设置:”调试选项“→”SFX“→”字节模式跟踪实际入口(速度非常慢)“3、载入相关程序。//当载入后的程序停止后,所停址的那个地址就是我们Dunp加壳文件的那个地址Hr命令:”hr“下的是字节断点。用E

4、SP脱壳时,多数都是用的这个。=================================================================================================第三部分,笔记正文----这篇文章的骨干部分!第一节手脱EZIP1.0的壳因为这个壳会修改PE头用OD脱壳后即使修复了也不能运行。所以最简单的方法是采用LordPE这个工具脱壳。具体步骤:首先,运行目标软件程序(不是用OD,而是想像平时使用一样,双击打开)→从LordPE列表中选中目标程序的进程→点”鼠标右键“选择”完整脱壳“。最后用ImportREC进行

5、修复。第二节手脱wwpack的壳这个壳跟上面说的EZIP1.0的壳一样,OD脱壳ImportREC进行修复程序还是无法运行。所以还是要用LordPE进行脱壳工作。具体步骤:从LordPE列表中选中目标程序的进程→点”鼠标右键“选择”完整脱壳“。最后用ImportREC进行修复。发现还是不能运行!最关键的地方到了:用LordPE这个软件自带的重建PE修复功能;重建PE头,重建后,即可运行!第三节手脱UPX壳的捷径用我们已开始提到的”关键提示“。具体操作:OD载入程序后,直接Ctrl+F,输入POPAD;点确定后来到这个命令所在的位置。按F2,在这个地方下断;再按F9(运行);停

6、止后,按F2取消刚才下的断点。再F8单步!第四节手脱ASPCK的壳脱这个壳用ESP定律,还是相对快捷的。可以用载入程序后,第二行(是一个CALL)那里面的ESP。//多数程序这个壳的第二行都是一个CALL在左OD左下角的命令行中,输入命令:hrESP地址(如hr0012FFA4);F9运行。然后从OD”调试菜单“中的”硬件断点“这一项将刚才下的断点删除,这点很重要!最后F8单步!第五节用内存镜像法手脱FSG1.33和PCshrink的壳1、忽略所有异常2、Alt+M打开内存镜像,找到第一个”.rsrc“3、F2(下断),F9(运行)4、Alt+M打开内存镜像,找到”Code“

7、段;5、F2(下断),Shift+F9【这点一定要记住,切记是Shift+F9】运行;6、先按F8,再按下F4,直接到达OEP第六节手脱JDpack壳和PEpack1.0的壳最简单的方法脱这个壳推荐使用内存镜像法;我在用ESP脱壳的时候发现:ESP定律的速度和单步跟踪的速度差不多,所以在这里就不推荐了。相反,脱PEpack1.0壳的时候,用ESP定律是最快捷的方法。第七节手脱PEDiminisher;Dxpack0.86;32lite0.03a;PEtite2.2这几种壳的简单方法脱PEDiminish

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。