大智慧主序脱壳全记录(图文)第1集.docVIP

大智慧主程序脱壳全记录（图文）第四集 今天用大智慧主程序为例进行脱壳操作 一、ESP定律手脱法 第一步，查壳，“ASPack 2.12 - Alexey Solodovnikov” 第二步，启动OD，加载主程序，来到下图画面所示地址。 进入“选项”－“调试选项”－“异常”，全部钩选（可做也可不做。普通压缩壳Od调试时候没有异常，加密壳全部有反跟踪代码，会有许多SEH陷阱使OD调试时产生异常。） 用F8进行单步跟踪，在右边窗口寄存器（FUP）中的“ESP”突现“0012FFA4”时停下，用鼠标点选该句，打开右键菜单，如下图所示操作。（或在左下角“命令”栏中输入“DD 0012FFA4”回车） 点选左下角“0012FFA4”语句，打开菜单，选择“断点”－“硬件访问”－“Word”，F9运行 如下图所示，在F8单步跟踪，实现大跳转 用鼠标右键打开菜单，选择“用OllyDump脱壳调试进程” 点击“脱壳”按钮，进行存盘，记住OEP地址为“2F68B5”（在进行输入表修复时要用到的地址） 千万记住：要删除先前设置的“断点”，否则，原版主程序运行时会出现异常（按下图所示操作） “调试”－“硬件断点”――――――“删除” ＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ 重新载入已脱壳的主程序，可以阅读程序流程（下图） 第三步，检验。启动已脱壳的主程序，如果正常，则不需要修复输入表，否则，还得用前面的方法进行修复操作 二、内存镜像法 第一步，查壳，“ASPack 2.12 - Alexey Solodovnikov”（略） 第二步，启动OD，加载主程序，来到下图画面所示地址 “CTRL+M”调出“Memory Map”,选择“。rsrc”，用鼠标右键菜单“设置访问中断 F2”，F9运行 来到下图地址，在“Memory Map”中选择“。text”，同样用鼠标右键菜单“设置访问中断 F2”，F9运行 程序停在这里，那就是真正的入口点 用鼠标右键打开菜单，选择“用OllyDump脱壳调试进程” 点击“脱壳”按钮，进行存盘，记住OEP地址为“2F68B5”（在进行输入表修复时要用到的地址） 其余操作同上