第三课 - 散人手把手教你学破解.pdfVIP

第三课-手把手教你学破解

2012年1月23日星期一

13:18

大家好！我是散人，呵呵！我们又见面了，看过我课的朋友今天就继续往下看了！没看过

的朋友假如有兴趣的话就请先把前两节课看完！好，按照惯例，今天应该讲脱壳了！好，

我们先看一下“壳”的定义：我认为一个软件为什么加壳，主要原因还是利益问题，加了

壳的软件一般是不能够编译破解使用的，就达不到我们免费的目的，只有我们先把他的皮

剥下去，才能达到我们的破解目的。

这也就是我们为什么要学习脱壳的原因。壳有千万种，但常用的就那几种，我们只要把常

用的几种壳的脱法学会，那别的什么壳也就自然会了，这是一个过程，是要慢慢积累的！

在这里我尽量教大家快捷简单的脱壳方法，尽量让大家一看就懂。现在我们先讲一下给一

个软件脱壳我们要用到的软件：

1、查壳工具

PEID--功能强大的侦壳工具，自带脱壳插件（但是，效果不怎么样，所以我们就用它查

壳就够了！）

工作原理：核心是userdb.txt（呵何！大家可以看看）[通过壳的入口特征码进行辨认]

使用方法：可以拖放、也可以把PEID添加到右键菜单里面去(如图)

下载地址：PEid0.94汉化版.rar

2、手动脱壳工具（为什么不用自动的呢？因为没有手动来的干净，好使！）

ODbyDYK（OD）--第一节课有讲过的，我就不多说了！

常用快捷键：

F2：在需要的地方下断点（INT3型断点）

F3：选择打开程序

F4：运行到所选择的那一行

F7：单步进入

F8：单步跟踪

F9：执行程序（运行程序）

3、修复工具

ImportREConstructor1.6—非常强大的修复工具哦~！~！~(如图)

下载地址：Import_Fix_1.6.rar

好！现在我们讲一下我们破解软件的工作原理：

查壳(使用工具PEID)寻找OEP（OEP就是脱壳的关键地点）（使用工具OD）脱壳-

--修复(使用工具ImportREConstructor)

好！工作原理知道了吧·那我们今天就脱个带有ASPack壳的笔记本，让他脱下狼的伪装，

漏出真面目！ASPack是现在比较流行的一种壳！进入正题！

带有ASPack壳的笔记本下载地址：NotePad.98.E(ASPack_2.12).exe

脱壳步骤1。我们下把这个笔记本用PEID查壳我们可以清楚的看见他的壳是ASPack2.12

（如图）

我们已经知道是什么壳了那想什么呢！脱吧！

脱壳步骤2。我们将笔记本用OD载入（如图）

我们看反汇编区的第一行（我们以后在给软件脱壳时都要在反汇编区工作了（就是左上角

的框））（如图）

看见了吗？开头有个pushad看见了吗？在地址0040D001那！根据“ESP定律脱壳法”只

要在程序载入开头第一句就是ESP的关键句的话，我们就可以使用“下硬件断点的方法”

直接到达OEP，那什么是关键句呢？在“ESP定律脱壳法”所谓的关键句也就是PUSHAD

（压栈）和POPAD（出栈），在这里我们遇到的是“pushad”所以我们可以用“ESP定律

法”的方法脱它，那要怎么脱呢！往下看吧！就明白了！

首先我们按左上角的

按钮或F8（也叫单步跟踪）步入到下一行（如图）

这时我们看一下右上角的寄存器窗口（如图）

0012FFA4这段地址颜色非常鲜艳，呵呵！这就是关键！我说了我们这次脱壳用ESP定律

法，那当然跟“ESP”有关系了！我们看这个高亮的0012FFA4这个地址正好指向了ESP

（如图）

在ESP定律法的规定中，寄存器窗口的ESP对应地址高亮就代表可以用“下硬件断点”的

方法脱壳！

我们在看一下OD左下角有个命令窗口，这是我们用来打命令的地方，我们在这个窗口中

输入“DD0012FFA4”DD是什么意思呢？DD就是查找这个地址的所在位置的命令，

0012FFA4也就是我们刚才看见的寄存器窗口里ESP对应高亮的地址！（如图）

我们按回车！这时我们看一下左下角的内存窗口，OD已经在内存窗口中帮我们找到了这

段地址在内存中的位置了！（如图）

看见了吧！但光显示在内存窗口中是没有用的！要在反汇编窗口中显示相应的位置才行！

这时我们可以用我刚刚提到的ESP定律法中的“下硬件断点”的方法，找到在反汇编窗口

中这段地址的位置。那我们应该怎么做呢？大家要看好了！我们先用鼠标点下在内存窗口

中显示的“0012FFA4”这段地址，之后在这段地址上点右键，在弹出的菜单中选择