第三课-散人手把手教你学破解.docxVIP

第三课- 手把手教你学破解2012年1月23日星期一13:18?大家好！我是散人，呵呵！我们又见面了，看过我课的朋友今天就继续往下看了！没看过的朋友假如有兴趣的话就请先把前两节课看完！好，按照惯例，今天应该讲脱壳了！好，我们先看一下“壳”的定义：我认为一个软件为什么加壳，主要原因还是利益问题，加了壳的软件一般是不能够编译破解使用的，就达不到我们免费的目的，只有我们先把他的皮剥下去，才能达到我们的破解目的。这也就是我们为什么要学习脱壳的原因。壳有千万种，但常用的就那几种，我们只要把常用的几种壳的脱法学会，那别的什么壳也就自然会了，这是一个过程，是要慢慢积累的！在这里我尽量教大家快捷简单的脱壳方法，尽量让大家一看就懂。现在我们先讲一下给一个软件脱壳我们要用到的软件：-----------------------------------------------------------------------------------------------------------------1、查壳工具???PEID--功能强大的侦壳工具，自带脱壳插件（但是，效果不怎么样，所以我们就用它查壳就够了！）???工作原理：核心是userdb.txt（呵何！大家可以看看）[通过壳的入口特征码进行辨认]???使用方法：可以拖放、也可以把PEID添加到右键菜单里面去(如图)???下载地址：PEid0.94汉化版.rar2、手动脱壳工具（为什么不用自动的呢？因为没有手动来的干净，好使！）ODbyDYK（OD）--第一节课有讲过的，我就不多说了！常用快捷键：F2：在需要的地方下断点（INT3型断点）F3：选择打开程序F4：运行到所选择的那一行F7：单步进入F8：单步跟踪F9：执行程序（运行程序）3、修复工具Import REConstructor 1.6—非常强大的修复工具哦~！~！~(如图)??下载地址：Import_Fix_1.6.rar------------------------------------------------------------------------------------------------------------------------------好！现在我们讲一下我们破解软件的工作原理：查壳(使用工具PEID)---寻找OEP（OEP就是脱壳的关键地点）（使用工具OD）---脱壳---修复(使用工具Import REConstructor)?好！工作原理知道了吧·那我们今天就脱个带有ASPack壳的笔记本，让他脱下狼的伪装，漏出真面目！ASPack是现在比较流行的一种壳！进入正题！带有ASPack壳的笔记本下载地址：NotePad.98.E(ASPack_2.12).exe脱壳步骤1。我们下把这个笔记本用PEID查壳我们可以清楚的看见他的壳是ASPack 2.12（如图）??我们已经知道是什么壳了那想什么呢！脱吧！脱壳步骤2。我们将笔记本用OD载入（如图）??我们看反汇编区的第一行（我们以后在给软件脱壳时都要在反汇编区工作了（就是左上角的框））（如图）??看见了吗？开头有个pushad?看见了吗？在地址0040D001?那！根据“ESP定律脱壳法”只要在程序载入开头第一句就是ESP的关键句的话，我们就可以使用“下硬件断点的方法”直接到达OEP，那什么是关键句呢？在“ESP定律脱壳法”所谓的关键句也就是PUSHAD（压栈）和POPAD（出栈），在这里我们遇到的是“pushad”所以我们可以用“ESP定律法”的方法脱它，那要怎么脱呢！往下看吧！就明白了！首先我们按左上角的按钮或F8（也叫单步跟踪）?步入到下一行（如图）??这时我们看一下右上角的寄存器窗口（如图）??0012FFA4?这段地址颜色非常鲜艳，呵呵！这就是关键！我说了我们这次脱壳用ESP定律法，那当然跟“ESP”有关系了！我们看这个高亮的0012FFA4这个地址正好指向了ESP（如图）??在ESP定律法的规定中，寄存器窗口的ESP对应地址高亮就代表可以用“下硬件断点”的方法脱壳！我们在看一下OD左下角有个命令窗口，这是我们用来打命令的地方，我们在这个窗口中输入“DD 0012FFA4”DD是什么意思呢？DD就是查找这个地址的所在位置的命令，0012FFA4也就是我们刚才看见的寄存器窗口里ESP对应高亮的地址！（如图）??我们按回车！这时我们看一下左下角的内存窗口，OD已经在内存窗口中帮我们找到了这段地址在内存中的位置了！（如图）??看见了吧！但光显示在内存窗口中是没有用的！要在反汇编窗口中显示相应的位置才行！这时我们可以用我刚刚提到的ESP定律法中的“下硬件断点”的方法，找到在反汇编窗口中这段地址的位置。那我们应该怎么做呢？大家要看好了！我们先用鼠标