全球作弊论坛  
  
查看: 77|回复: 0

常用脱壳方法

[复制链接]

10

主题

1

回帖

50

积分

鬼仙

Rank: 2

积分
50
发表于 2024-10-10 10:17:06 | 显示全部楼层 |阅读模式
0x1 单步跟踪
[color=rgba(0, 0, 0, 0.84)]1.OD载入,不分析代码。
2.近CALL—F7,远CALL—F8,实现向下的跳转。
3.有回跳处,下一句代码处—F4 (右键—代码断点运行到所选)
4.大的跳转(大跨段,JMP或JE或RETN),很快就会到OEP
0x2 最后一次异常法
[color=rgba(0, 0, 0, 0.84)]1.OD打开—点选项—调试选项—去掉所有异常—CTRL+F2重载.
2.SHIFT+F9.只到程序运行,记下次数M
3.CTRL+F2重载—按SHIFT+F9(次数为M-1次)
4.按CTRL+G—输入OE右下角的SE句柄前的地址.
5.F2下断—SHIFT+F9到断点处.
6.去断按F8,到OEP.
0x3 模拟跟踪法
[color=rgba(0, 0, 0, 0.84)]无暗桩情况下使用
1.F9试运行,跑起来就无SEH暗桩之类的,否则就有.
2.ALT+N打开内存镜像,找到包含“=sfx,imports reloco tions”字符
3.地址= 命令行输入:tceip<,回车.
0x4 内存镜像法
[color=rgba(0, 0, 0, 0.84)]1.OD载入软件
2.点选项—调试选项—忽略全部—CTRL+F2重载
3.ALT+N打开内存镜像,找程序第一个.rsrc—F2下断—SHIFT+F9运行到断点,再打开找到程序第一个.rsrc上面的.code处(就是00401000处),F2下断—SHIFT+F9或无异常按F9,到OEP
0x5 ESP定律法
[color=rgba(0, 0, 0, 0.84)]1.F8,观察OD右上角寄存器中ESP有没有实现(红色)
2.命令行下 DD **(当前代码ESP值),回车
3.DD就选中下端地址,断点—硬件访问—DWORD断点,F9运行,到跳转处按F8 到OEP
0x6 一步到OEP法
[color=rgba(0, 0, 0, 0.84)]只适合少数壳,如UPX,ASPACK
1.CTRL+F—输入:POPAD.回车查找—F2下断—F9运行到此处.
2.来到大跳转处,点F8到OEP.
0x7 SFX法
[color=rgba(0, 0, 0, 0.84)]1.设置OD,忽略所有异常.
2.切换到SFX选项卡,选择“字节模式跟踪实际入口”,确定.
3.重载—“否”压缩代码,到OEP.

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表