脱壳方法.docVIP

脱壳方法 /*****************脱壳手记************/ /***********由于本人才疏学浅,有什么不足之处,望大家指点********************/ /* 先给自己找些借口: 虽然接触脱壳有很长一段时间了,但是对壳的分析还是处于新手阶段. 详细的脱壳过程也没有必要一再重复,论坛里基本上都有的了. 本文是给一些像我一样在脱壳门口徘徊的新人们看的,其实脱壳很简单. 要是大牛们能留下宝贵的意见当然是求之不得的. 当然 有很多加密壳 像ASProtect , 穿山甲, ACProtect 等. 这些壳,已经有很多前辈给我们这些后人都做好了铺垫,有好多脱该类壳的脚本. 记得VolX写的一个脚本Aspr2.XX_unpacker_v1.0SC.osc /* Script written by VolX Script : Aspr2.XX_unpacker 版本 : v1.0SC 日期 : 15-Jan-2007 调试环境 : OllyDbg 1.1, ODBGScript 1.47, WINXP, WIN2000 调试选项 : 设置 OllyDbg 忽略所有异常选项 工具 : OllyDbg, ODBGScript 1.47, Import Reconstructor. 感谢 : Oleh Yuschuk - author of OllyDbg SHaG - author of OllyScript Epsylon3 - author of ODbgScript 特别感谢 : fly, linex, machenglin 等兄弟的帮忙测试. //support Asprotect 1.32, 1.33, ,1.35, 1.4, 2.0, 2.1, 2.11, 2.2beta, 2.2, 2.3 */ 这个脚本脱Asprotect很给力 似乎更高级一些的 例如 2.4 的版本也适用. 对于牛壳,比如壳safeguard1.03,我可是费了不少心思,可是总是没有什么结果,在论坛里好像只有一篇文章是有关该壳的 标 题: safeguard1.03 主程序之“游晕惊萝”之浅游（未脱） 发帖人:askformore 时 间: 2005-07-01 16:45 原文链接:/showthread.php?threadid=14854 唉~都不知道要等到何年何月啊 ~ */ /////////////////////////////////////////////////////////////////////////// 下面是小弟我最近的手记,因为最近才想起来要做手记,所以内容很少很少,希望大家能帮忙补充 2011/4/8 13:40 手脱PECompact 2.x - Jeremy Collake 壳是我自己加的,加壳的工具是PECompact2 Graphical User Interface Application 软件名:虚拟光驱绿色版 使用内存二次断点再单步跟踪就能到OEP 下内存函数断点脱 bpx VirtualFree 单步跟踪也可以 不过要注意凡跑飞的call重新加载后F7进去然后继续单步跟踪即可慢慢到达OEP 有经验的知道该壳加壳后的程序和原程序的入口点是一样的 所以可以在壳的ep下硬件执行断点一样可以到达oep 软件语言:Microsoft Visual C++ 7.0 //////////////////////////////////////////////////////////// 2011/4/8 17:50 手脱ASPack 2.12 - Alexey Solodovnikov 软件名:电子日记EDiary2.53 ESP定律解决 后来想了想,为了方便一些新手学习,就写多一些能脱该累壳的办法,该壳可以使用单步跟踪(其实压缩壳都可以单步跟踪来到OEP的),内存断点,SFX,ESP定律,二进制搜索C2 0C 00 68 00 00 00 00 C3(由于本人才疏学浅,目前发现这段二进制代码对ASPack壳起作用,对于其他壳,还没有留意,也还没有尝试) 软件语言:Borland Delphi 6.0 - 7.0 注:说点题外话,和大学的密码学老师和网络安全老师讨论了一下有关该壳的加密算法和验证密码的方式的时候(当然是在仅有的一些资料的情况下得到的一些些小结论,也不知道是对还是错):该验证算法是建立在SHS杂凑算法（SHA算法的小变形）和Blowfish加密算法的综合利用上的.我听得一头雾水,呵呵. //////////////////////////////////////////////////////////