這裡的練習題目是reversing.kr 的easy crack1.單步追蹤法向下除錯一般用的是f8(單步步過)我自己用upx加殼工具給它加了個殼,由於原檔案邏輯簡單,所以用它來練練手
之後用到的工具是ida和ollydbg
2.遇到紅色的向上箭頭說明執行到此處之後會向上跳轉,對於單步跟蹤法來說是不能讓它發生的,所以點選下一行,f4執行到該處。
3.遇到灰色箭頭:灰色說明它沒有起作用,直接f8就行,並不會向上跳轉。
4.如果看到popad指令,說明在下面不遠處會有乙個大跳轉(跳到另乙個區段) ,即程式即將執行到oep(真正的程式入口點)。
5.在快到popad的時候可能程式會跑飛,如下圖的第乙個箭頭所指
0040bac0 ff96 a8b00000 call dword ptr ds:[esi+0xb0a8]
*有了上述的了解之後,經過耐心的除錯,程式來到了oep。
注意看,jump的目標位址是0x401188, 而當前程式所處的位址是0x40bb03, 跨度如此之大,說明我們離成功不遠。
*f8單步執行,到了最後一步。
*在0x401188處右鍵 -> 用ollydump脫殼除錯程序,點脫殼。
小trick:alt+m可以看記憶體映像(memory map),如下圖
可以看到0x401188屬於upx0區段,而0x40bb03屬於upx1,驗證了上面的說法。
用ida32位開啟。
第一張是未脫殼的結果。
第二張是脫殼之後的結果。
可以看到脫殼之後flag很容易就可以看到是ea5yr3versing, 但很迷的是用file命令或者是die工具掃出來還是有upx殼==
手動脫UPX 殼實戰
windows平台的加殼軟體還是比較多的,因此有非常多人對於 pc軟體的脫殼樂此不彼,本人菜鳥一枚,也學習一下 pc的脫殼。要對軟體進行脫殼。首先第一步就是 查殼。然後才是 脫殼。pe detective exeinfo pe die 工具。須要脫殼的程式是吾愛破解論壇的windows 逆向破解培訓...
手動脫UPX的殼
請注意 該動畫內所含廣告與本站無任何關係,為作者個人宣傳,網路交易風險自負 大家好,我是承諾 qq號,151254904 首先必須的工具要準備好,查殼工具為peid 手動脫殼建議大家用ollydbg,工作平台win2000,winxp,win9x不推薦。手動脫殼時,用olldbg引導程式,脫殼程式裡...
手脫UPX殼方法介紹
方法1 單步跟蹤 f8單步跟蹤,向上不能讓他跳,有loopd迴圈也一樣 跳轉的下一行按f4 執行到選定位置,迴圈loopd在call下一句f4執行 只允許向下跳,如單步跟蹤call處程式執行,則需要過載程式,再call處f7跟進 近call f7,遠call f8 pushad 入棧 popad 出...