[分享] 脫殼新手該學習的五種脫殼方法

廢話不多說

方法一:  
1.用OD載入,不分析代碼!  
2.單步向下跟蹤F8,是向下跳的讓它實現。  
3.遇到程式往回跳的(包括循環),我們在下一句代碼處按F4(或者右健單擊代碼,選擇斷點??運行到所選)。  
4.綠色線條表示跳轉沒實現,不用理會,紅色線條表示跳轉已經實現!  
5.如果剛載入程式,在附近就有一個CALL的,我們就F7跟進去,這樣很快就能到程式的OEP。
6.在跟蹤的時候,如果運行到某個CALL程式就運行的,就在這個CALL中F7進入。  
7.一般有很大的跳轉,比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETE的一般很快就會到程式的OEP。

方法二:  
ESP定理脫殼(ESP在OD的寄存器中,我們只要在命令行下ESP的硬體訪問斷點,就會一下來到程式的OEP了!)  
1.開始就點F8,注意觀察OD右上角的寄存器中ESP有沒出現。  
2.在命令行下:dd 0012FFA4(指在當前代碼中的ESP地址),按回車!  
3.選種下斷的地址,下硬體訪問WORD斷點。  
4.按一下F9運行程式,直接來到了跳轉處,按下F8,到達程式OEP,脫殼

方法三:  
內存跟蹤:  
1:用OD打開軟體!  
2:點擊選項"調試選項"異常,把裡面的忽略全部√上!CTRL+F2重載下程式!  
3:按ALT+M,打開內存鏡象,找到第一個.rsrc.按F2下斷點,然後按SHIFT+F9運行到斷點,接著再按ALT+M,開內存鏡象,找到.RSRC上面的CODE,按F2下斷點!然後按SHIFT+F9,直接到達程式OEP,脫殼

方法四:  
一步到達OEP(前輩們總結的經驗)  
1.開始按Ctrl+F,輸入:popad(只適合少數殼,包括ASPACK殼),然後按下F2,F9運行到此處  
2.來到大跳轉處,點下F8,脫殼它!

方法五:  
1:用OD打開軟體!  
2:點擊選項""調試選項""異常,把裡面的√全部去掉!CTRL+F2重載下程式!  
3:一開是程式就是一個跳轉,在這裡我們按SHIFT+F9,直到程式運行,記下從開始按F9到程式  運行的次數!  
4:CTRL+F2重載程式,按SHIFT+F9(次數為程式運行的次數-1次  
5:在OD的右下角我們看見有一個SE 句柄,這時我們按CTRL+G,輸入SE 句柄前的地址! 
6:按F2下斷點!然後按SHIFT+F9來到斷點處!  
7:去掉斷點,按F8慢慢向下走!  
8:到達程式的OEP,脫殼!

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 變更 )

Twitter picture

You are commenting using your Twitter account. Log Out / 變更 )

Facebook照片

You are commenting using your Facebook account. Log Out / 變更 )

Google+ photo

You are commenting using your Google+ account. Log Out / 變更 )

連結到 %s


%d 位部落客按了讚: