网站 › 『=视频教程=』 › 【脱壳笔记】之新手脱upx壳

小贩 发表于 2015-7-20 16:55

【脱壳笔记】之新手脱upx壳

本帖最后由 小贩 于 2015-7-21 18:18 编辑

菜鸟教程！大鸟飞过！勿喷！
大家好！我是小贩，今天我给大家带来的是我自己学习脱壳的笔记，希望大家不要喷我这个菜鸟、新手！

好了，不多说了！我就开始了！


教程一：手脱upx壳

   第一步：查壳（查壳是必须的！工具：PEID、其他也可以）


可以看到壳是：UPX v0.89.6 - v1.02 / v1.05 - v1.22

第二步：载入OD


我们发现有个提示：代码被压缩，加密。。。。我们不管，直接点“否”！


好了，我们要正式开始脱壳了！！！

今天给大家教的是“ESP定律”方法。（还有单步跟踪法、一步直达法、两次内存镜像法。。。为了让大家很好的吸收，今天只讲这一种！）

方法一：ESP定律法


点击红圈里的按钮，或者按F8单步步过，按一下


这时，寄存器窗口的ESP突变变红！


右键点击突变区域,点击数据窗口跟随

按照图上的步骤执行（右键断点>>硬件访问>>Word      然后点击运行或者F9）


我们发现，这里是个大跳转，而且上一句是popad（出债），还记得吗？我们入口的那里就有一个PUSHAD（入债），说明什么？说明了，已经快到了OEP了


果然，我们F8后就到了OEP！！！


哈哈哈，我们右键找到>>用Ollydbg脱壳调试进程


点击>>脱壳>>保存

然后PEID查壳，VC++ 6.0我们脱壳成功了！！！


附件:**** Hidden Message *****



                                                            其他笔记>>>【脱壳笔记】之新手脱upx壳：https://www.52hb.com/thread-12434-1-1.html
   其他笔记>>>【脱壳笔记】之新手脱ASPack壳：https://www.52hb.com/thread-12434-1-1.html其他笔记>>>【脱壳笔记】之新手脱NSPack壳：https://www.52hb.com/thread-12500-1-1.html

king1288 发表于 2015-7-20 17:41

小贩 发表于 2015-7-20 17:51

king1288 发表于 2015-7-20 17:41
同样是新手来支持以下

谢谢，我正在学习

sure 发表于 2015-7-20 21:36

不错,新手教程,！ 继续进步

浅析 发表于 2015-7-21 16:04

grz 发表于 2015-7-21 16:37

看着好简单，就是自己不会。

小程曦 发表于 2015-7-21 16:38

同样是新手来支持以下

战股神 发表于 2015-7-21 21:13

能不能运行是另回事呢？

小贩 发表于 2015-7-21 21:20

grz 发表于 2015-7-21 16:37
看着好简单，就是自己不会。

自己多动一下手，多练练就慢慢的理解了

1253530595 发表于 2015-7-22 13:19

感谢楼主分享！

查看完整版本: 【脱壳笔记】之新手脱upx壳