脱壳八法笔记
ESP定律1.OD载入
2.F8寄存器窗口找到红色ESP
3.右键数据窗口跟随
4.选中数据硬件访问
5.F8到OEP,从模块中删除分析
6.F8右键 用OllyDump脱壳
单步跟踪法
1.OD载入
2.F8到有跳空运行记录下来,重新运行F8到跳空的地方F7
3.F8到有向上执行的,选择向上执行的代码的下一行F4
4.F8到OEP
5.用OllyDump脱壳
两次断点法(内存镜像法)
1.OD载入
2.点M在 文件名 .rsrc第一次下断点
3.shift+F9然在点M 在 .rsrc上面数第二个下断点
4.shift+F9 F8到OEP
5.用OllyDump脱壳
最后一次异常法
1.载入OD
2.调试选项 异常 全部忽略
3.F9然后在运行前一次找SE按enter
4.F8,遇到循环F4 然后F8到oep
5.用OllyDump脱壳
SFX法
1.载入OD
2.选项-调试选项-SFX-字节方式跟踪
3.OD重新载入
4.用OllyDump脱壳
模拟跟踪法
1.OD载入
2.用两次断点法(内存镜像法)
3.在.rsrc下面一个然后在command查找 tc eip<地址
4.等待跟踪
5.用OllyDump脱壳
出口标志法
1.OD载入
2.右键查找命令,整个块不能勾上
3.查找popad
4.找到popad然后F4,如果跑飞运行起来就重新载入,往下个popad F4
5.到达popad F8到OEP
6.用OllyDump脱壳
秒到OEP法
1.载入OD
2.运行-堆栈窗口找返回跟随
3.跟随的汇编代码找OEP
LordPE找到程序路径,纠正镜像大小然后完全脱壳 保存
Import REC找到进程,OD复制OEP地址,把oep复制进REC iat那里,点自动查找iat,再点获取输入表,点无效函数,找到无效函数右键删除指针,转存储文件 lordpe保存的文件
脱壳8法已经有很多记录,基本都相同。
但是最后使用REC修复IAT的总结,我想简单的纠正一下,注意是简单的纠正一下,不聊的太深刻。。
主要是楼主修复IAT总结的部分,怕会让一些刚接触脱壳技术的新手误解。(老手当然不会误解啦)
1,IAT起始位置我觉得还是手动定位一下比较好。
2,找到无效指针不建议直接右键删除或剪切,除非你确定该壳不存在IAT重定向与AntiDump
Shark恒 发表于 2016-2-12 22:03
脱壳8法已经有很多记录,基本都相同。
但是最后使用REC修复IAT的总结,我想简单的纠正一下,注意是简单的 ...
表示不懂在说什么 好的 谢谢 看了一下,表示新手很受益!支持楼主多发一些心得体会 评分标准又变了吗??早上评不了分了{:5_118:} 祝吾爱汇编论坛全体成员2016年开心每一天!谢谢分享! 学习了,顺便祝吾爱汇编论坛全体成员2016年开心每一天!谢谢分享!
[快捷回复]-感谢楼主热心分享!