脫殼基本方法

1.pushad :（壓棧）代表程式的入口點

2.popad :（出棧）代表程式的出口點，與pushad想對應.看到這個,就說明快到oep了.

3.oep:程式的入口點,軟體加殼就是隱藏oep.而我們脫殼就是為了找oep.

二.脫殼除錯過程中辨認快到oep的簡單方法

下面二個條件是快到oep的共同現象:

若出現下面情況時,說明oep就要到了:

1. od跟蹤過程中如果發現:

popad

popfd

或popad

2.同時,緊接著,有retn ,jmp等其它跳轉指令,發生跨段跳躍時.

說明oep馬上到了.

三.脫殼必需牢記的要領

1.單步往前走,不要讓程式向上走,遇到向上跳時,在下一句按f4,執行到所選.

2.剛引導程式,在附近就call時,我們按f7跟進去.

3.若跟蹤時,執行某個call程式就執行時,這個call也用f7進入.

4.在跟蹤時,出現比如 jmp ****** 或者 je ****** 或者有retn同時發生大跨段跳轉時,說明很快就到oep了.

四.常用脫殼方法總結

------------------

方法一:單步跟蹤法

------------------

介紹:這是最通用的方法,對於未知殼,基本都用這種方法,這種方法過程比較麻煩,要一步一步的跟蹤分析,要有一定的耐心.

1.用od載入,選"不分析**"

2.單步向下跟蹤按f8，實現向下的跳.不讓程式往回跳.

3.遇到程式往回跳的（包括迴圈），我們在下一句**處按f4（或者右健單擊**，選擇斷點——>執行到所選）

4.如果剛引導程式，在附近就有乙個call的，我們就f7跟進去，不然程式很容易執行.

5.在跟蹤的時候，如果執行到某個call程式就執行的，就在這個call中f7進入.

6.一般遇到很大的跳轉（跨段跳），比如 jmp ****** 或 je ****** 或有retn的一般很快就會到程式的oep。

-----------------

方法二:esp定律法

-----------------

介紹: 這種方法可以脫大部的壓縮殼和少數加密殼,操作起來比較簡單,脫殼速度也相對比較快.

1.開始就點f8向下走，注意觀察od右上角的暫存器中esp有沒突現（變成紅色）

3.選中下斷的位址，斷點--->硬體訪--->word斷點。

4.按一下f9執行程式，直接來到了跳轉處，按下f8向下走，就到達程式oep。

-----------------

方法三:記憶體映象法

-----------------

介紹:也是一種比較好用的脫殼方法,大部分的壓縮殼和加密殼用記憶體映象法能快速脫掉.非常實用.

1.用od開啟,設定選項——除錯選項——異常,忽略所有異常(也就是把裡面的忽略全部√上),然後ctrl+f2過載下程式！

2.按alt+m,開啟記憶體鏡象，找到程式的第乙個.rsrc.按f2下斷點，然後按shift+f9執行到斷點.

3.接著再按alt+m,開啟記憶體鏡象，找到程式的第乙個.rsrc.上面的.code，按f2下斷點！然後按shift+f9，直接到達程式oep！

----------------

方法四:一步到oep

----------------

介紹:這是一種巧方法,脫殼速度最快,前提是要知道這個殼的特徵,利用這種殼的共性快速找到程式的oep.這種方法只用於少數殼.

1.開始按ctrl+f,輸入：popad,然後按下f2下斷，按f9執行到此處.

2.很快來到大跳轉,按f8向下走,來到oep.

近期主要任務就是把那個系統的殼給脫掉然後反編譯之，當此任務完結後工作的重點就要是做乙個自動安裝軟體的程式，要求是可以手動新增需要自動安裝的多個程式，然後根據記憶體反饋逐個安裝。另外，就是安裝程式並不在本機，而是在區域網內的一台機器上。

下午，不想做事，就到論壇到處逛下發現了itcast學習大本營這個版塊，有一篇介紹vs2008的欄目個人覺得值得一看，所以在這裡把位址copy下了http://www.itcast.net/course/detail/47

脫殼基本方法

四種脫殼的基本方法講解

jar脫殼 Android app 脫殼

脫殼記憶體斷點法脫殼

脫殼基本方法

四種脫殼的基本方法講解

jar脫殼 Android app 脫殼

脫殼 記憶體斷點法脫殼

相關推薦

脫殼記憶體斷點法脫殼