为了顺应当前形势和更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 软件 电脑软件 查看内容

简单讲解脱壳教程

2009-8-30 08:59| 投稿: jem

摘要:   大家好我是紫月  QQ 296041605  今天给大家讲解下 脱壳  一.学脱壳的必要性  1.免杀制作  2.程序个性化修改汉化  3.收费共享软件的破解  二。脱壳工具介绍  1....
  大家好我是紫月  QQ 296041605  今天给大家讲解下 脱壳  一.学脱壳的必要性  1.免杀制作  2.程序个性化修改汉化  3.收费共享软件的破解  二。脱壳工具介绍  1.查壳工具:  PEID ,PE-SCAN 等  2.脱壳跟踪工具: ollydbg  3.脱壳工具: OD自带脱壳插件,LordPE.  4.修复工具:Import REConstructor 1.6  方法一:单步跟踪法  ------------------  介绍:这是最通用的方法,对于未知壳,基本都用这种方法,这种方法过程比较麻烦,要一步一步的跟踪分析,要有一定的耐心。  1.用OD载入,选"不分析代码"  2.单步向下跟踪按F8,实现向下的跳。不让程序往回跳。  3.遇到程序往回跳的(包括循环),我们在下一句代码处按F4(或者右健单击代码,选择断点——>运行到所选)  4.如果刚载入程序,在附近就有一个CALL的,我们就F7跟进去,不然程序很容易运行。  5.在跟踪的时候,如果运行到某个CALL程序就运行的,就在这个CALL中F7进入。  6.一般遇到很大的跳转(跨段跳),比如 jmp XXXXXX 或 JE XXXXXX 或有RETN的一般很快就会到程序的OEP。  -----------------  方法二:ESP定律法  -----------------  介绍: 这种方法可以脱大部的压缩壳和少数加密壳,操作起来比较简单,脱壳速度也相对比较快。  1.开始就点F8向下走,注意观察OD右上角的寄存器中ESP有没突现(变成红色)  2.选中下断的地址,断点--->硬件访问--->WORD断点。  3.按一下F9运行程序,直接来到了跳转处,按下F8向下走,就到达程序OEP。  -----------------  方法三:内存镜像法  -----------------  介绍:也是一种比较好用的脱壳方法,大部分的压缩壳和加密壳用内存镜像法能快速脱掉。非常实用。  1.用OD打开,设置选项——调试选项——异常,忽略所有异常(也就是把里面的忽略全部√上),然后CTRL+F2重载下程序!  2.按ALT+M,打开内存镜象,找到程序的第一个。rsrc.按F2下断点,然后按SHIFT+F9运行到断点。  3.接着再按ALT+M,打开内存镜象,找到程序的第一个。rsrc.上面的。CODE,按F2下断点!然后按SHIFT+F9,直接到达程序OEP!


友情提醒:以上链接来自互联网,请注意风险!

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部