普通壳的脱壳方法和脱壳技巧.docVIP

普通壳的脱壳方法和脱壳技巧.txt这是一个禁忌相继崩溃的时代，没人拦得着你，只有你自己拦着自己，你的禁忌越多成就就越少。自卑有多种档次，最高档次的自卑表现为吹嘘自己干什么都是天才。普通壳的脱壳方法和脱壳技巧，叫新手少走弯路！ 普通壳的脱壳方法和脱壳技巧，叫新手少走弯路 这篇文章，是我在之前在自学脱壳的时候，在笔记本是所做的脱壳总结；里面包括了各种壳的脱壳方法，最重要的是注释了什么壳用什么方法脱是最省时省力的 方法。毕竟是一篇笔记，所以在顺序是或许会有些杂乱无章的感觉。还是请刚接触脱壳的朋友们将就一下，一个一个字的把它从笔记本是移到电脑上也不容易。 首先，先对下文中将要讲到的几个地方做一下说明，避免一些刚接触脱壳的朋友因为不清楚它们的意思，而把时间花费在baidu和google上。 常见脱壳知识： 1.PUSHAD （压栈） 代表程序的入口点 2.POPAD （出栈） 代表程序的出口点，与PUSHAD相对应，一般找到这个,说明OEP可能就在附近 3.OEP：程序的入口点，软件加壳就是隐藏了OEP（或者用了假的OEP）， 只要我们找到程序真正的OEP，就可以立刻脱壳。 脱壳的几种方法： 方法一：单步跟踪 方法二：ESP定律脱壳 方法三：内存跟踪 方法四：跟踪出口法 方法五：最后一次异常法 方法六：懒人脱壳法 上面这些方法具体的操作我会在最后，在文章的最下面给出。想要具体了解的可以去看下，不过最后再看这个也是可以的。可以节省大家的时间。 ================================================================================================= 第二部分，需要注意的几处重点 ESP脱壳时，对于有关键提示的（如：Pushw 或 Pushad ），一般选择关键提示下面那行地址中的ESP。 懒方法脱壳，这种方法对压缩壳有效；对加密壳作用不大。 “懒方法脱壳“在已开始的设置时需要注意（简化的设置步骤，详细的在文章最下面）： 1、首先，要忽略所有异常 //忽略所有异常——这个是必须的 2、设置：”调试选项“→”SFX“→”字节模式跟踪实际入口（速度非常慢）“ 3、载入相关程序。 //当载入后的程序停止后，所停址的那个地址就是我们Dunp加壳文件的那个地址 Hr命令：”hr“下的是字节断点。用ESP脱壳时，多数都是用的这个。 ================================================================================================= 第三部分，笔记正文----这篇文章的骨干部分！ 第一节 手脱EZIP 1.0 的壳 因为这个壳会修改PE头 用OD脱壳后即使修复了也不能运行。所以最简单的方法是采用 LordPE 这个工具脱壳。具体步骤： 首先，运行目标软件程序（不是用OD，而是想像平时使用一样，双击打开）→从 LordPE 列表中选中目标程序的进程→点”鼠标右键“ 选择”完整脱壳“。最后用 ImportREC 进行修复。 第二节 手脱wwpack 的壳 这个壳跟上面说的 EZIP 1.0 的壳一样，OD脱壳 ImportREC 进行修复 程序还是无法运行。所以还是要用 LordPE 进行脱壳工作。 具体步骤 ： 从 LordPE 列表中选中目标程序的进程→点”鼠标右键“ 选择”完整脱壳“。最后用 ImportREC 进行修复 。发现还是不能运行！ 最关键的地方到了：用 LordPE 这个软件自带的重建 PE 修复功能；重建PE头，重建后，即可运行！ 第三节 手脱 UPX 壳的捷径 用我们已开始提到的”关键提示“。 具体操作：OD载入程序后，直接Ctrl+F，输入 POPAD ;点确定后 来到这个命令所在的位置。按F2，在这个地方下断；再按F9（运行）；停止后，按F2取消刚才下的断点。再F8单步！ 第四节 手脱 ASPCK 的壳 脱这个壳用ESP定律，还是相对快捷的。可以用载入程序后，第二行（是一个CALL）那里面的ESP。