软件破解教程(菜鸟解破补习班).docVIP

菜鸟破解补习班 为了满足广大菜鸟，我我我在论坛的一些朋友决定在论坛开个菜鸟破解补习班，为大家讲解初级的逆向知识，加解密技术，大家麻烦来顶一下帖子，在这里强调，这写文章全为原创，版权属于黑客X档案，作者不允许转载有事请联系我们。/thread-340360-1-1.htmlQQ:389264167在看文章前，请先阅读作者给出的准则！ 菜鸟破解补习班（第一课） 今天是菜鸟破解补习班的第一课，我们来将一下脱壳技术，这是我在黑客X档案0901期发过的一篇文章，讲的都是一些常见的脱壳方法，对于一般的壳来说，这些方法已经够用了，我就再不重写了，如果大家有什么疑问，请在下面跟贴为了方便大家学习，我建了个QQ群，大家可以来这里讨论，群号手动脱壳简简单单 原文地址：/post/5.html 作者：Monster 在我们进行逆向分析的时候，通常会遇到有些文件被加密处理过，也就是我们通常所说的被加了壳，这时他的内部结构都已经改变，我们想要继续分析是很麻烦的，所以我们需要把它从壳中分离出来，也就是我们常说的脱壳。现在越来越多的软件都使用了加壳的保护方法，所以脱壳是我们在逆向分析过程中很主要的步骤，掌握它至关重要。壳是最早出现的一种专业加密软件。不同的壳的侧重点也不同，有的侧重于压缩，有的侧重于加密，所以出现了压缩壳和加密壳。压缩壳的特点是减小软件的体积，我们常见的有：UPX，ASPack，PECompack等。加密壳的则侧重于加密，保护强度较大，常见的有：ASProtect，Armadillo，Themida等。 第一步??寻找OEP ★OEP（Original Entry Point）：程序的原入口点，就是壳程序在完成了对原程序的还原后，开始跳转到刚还原的程序执行，此时的地址就是入口点的值。 1单步跟踪 首先，我们运行peid, 将我们要检测的程序拖到上面,可以看到它是用aspack加的壳，如图1。 图1.JPG (25.12 KB) 2009-1-28 20:59 我们运行OD，点击菜单栏中的“文件”→“打开”，把我们需要脱壳的文件加载进来，接着就会弹出一个对话框“模块……你仍要继续分析吗”， 如图2， 图2.JPG (19.5 KB) 2009-1-28 20:59 我们选择“否”（不管什么方法脱壳都要按“否”），程序就会停以下的代码处，如图3 图3.JPG (11.84 KB) 2009-1-28 20:59 ：??90? ?? ?? ???nop ? 60? ?? ?? ???pushad ? E8?call? ? 0101300B?- E9 EB045D45??jmp? ???465E34F80101300D? ? 55? ?? ?? ???push? ? ebp0101300E? ? C3? ?? ?? ???retn0101300F? ? E8?call? ?01013014? ? EB 5D? ?? ???jmp? ???short我们按F8来跟踪一下，当到了call0101300B这里的时候，记事本自己打开了，我们按Ctrl+F2重新载入文件，再来跟踪，当我们再次遇到call0101300B这一句的时候我们按F7跟进，代码会来到这里：0101300B? ? 5D? ?? ?? ???pop? ???ebp0101300C? ? 45? ?? ?? ???inc? ???ebp0101300D? ? 55? ?? ?? ???push? ? ebp0101300E? ? C3? ?? ?? ???retn我们继续F8来跟踪，当到了retn一句时，程序返回了，停在了 call的下面一句jmp465E34F8上，跳转以后代码来到了下面的这一句call继续F8，如果遇到程序往回跳，那么我们就在下一句代码处按F4，这样跟踪一段时间以后，我们会看到这样的代码：010133BB68 9D730001push0100739D010133C0C3retn再F8一下我们的程序就返回了了这里：0100739D? ? 6A 70? ?? ?? ???push? ? 700100739F? ? 68 ???push? ?010073A4? ? E8 BF010000? ???call? ?到这里，我们就已经到达OEP，单步跟踪法测试成功。 2堆栈平衡 ★堆栈：一种数据项按序排列的数据结构，只能在一端(栈顶)对