脱壳的各种实现方法

最新推荐文章于 2022-07-30 15:52:01 发布
最新推荐文章于 2022-07-30 15:52:01 发布
阅读量387 收藏
点赞数
分类专栏: 解密加密

先介绍一下脱壳的基本知识吧!

常见脱壳知识:

1.PUSHAD (压栈) 代表程序的入口点;

2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近拉;

3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP),只要我们找到程序真正的OEP,就可以立刻脱壳。

开始正式介绍方法!!

方法一:

1.用OD载入,不分析代码;

2.单步向下跟踪F8,是向下跳的让它实现;

3.遇到程序往回跳的(包括循环),我们在下一句代码处按F4(或者右健单击代码,选择断点——运行到所选);

4.绿色线条表示跳转没实现,不用理会,红色线条表示跳转已经实现;

5.如果刚载入程序,在附近就有一个CALL的,我们就F7跟进去,这样很快就能到程序的OEP;

6.在跟踪的时候,如果运行到某个CALL程序就运行的,就在这个CALL中F7进入;

7.一般有很大的跳转,比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETE的一般很快就会到程序的OEP。

方法二:

ESP定理脱壳(ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了!)

1.开始就点F8,注意观察OD右上角的寄存器中ESP有没出现;

2.在命令行下:dd 0012FFA4(指在当前代码中的ESP地址),按回车;

3.选种下断的地址,下硬件访问WORD断点;

4.按一下F9运行程序,直接来到了跳转处,按下F8,到达程序OEP,脱壳。

 

方法三:

内存跟踪:

1:用OD打开软件;

2:点击选项——调试选项——异常,把里面的忽略全部√上!CTRL+F2重载下程序;

3:按ALT+M,DA打开内存镜象,找到第一个.rsrc.按F2下断点。然后按SHIFT+F9运行到断点,接着再按ALT+M,DA打开内存镜象,找到.RSRC上面的CODE,按F2下断点。然后按SHIFT+F9,直接到达程序OEP,脱壳!

方法四:

一步到达OEP(前辈们总结的经验)。

1.开始按Ctrl+F,输入:popad(只适合少数壳,包括ASPACK壳),然后按下F2,F9运行到此处;

2.来到大跳转处,点下F8,脱壳之!

方法五:

1:用OD打开软件;

2:点击选项——调试选项——异常,把里面的√全部去掉!CTRL+F2重载下程序;

3:一开是程序就是一个跳转,在这里我们按SHIFT+F9,直到程序运行,记下从开始按F9到程序运行的次数;

4:CTRL+F2重载程序,按SHIFT+F9(次数为程序运行的次数-1次);

5:在OD的右下角我们看见有一个SE 句柄,这时我们按CTRL+G,输入SE 句柄前的地址;

6:按F2下断点,然后按SHIFT+F9来到断点处;

7:去掉断点,按F8慢慢向下走;

8:到达程序的OEP,脱壳!

fanfuzd
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
实现通用脱壳
08-09
本教程介绍了各种常见的加壳/脱壳的原理和技术,并给出了实现通用脱壳机的方法
脱壳工具:BlackDex的使用详解
热门推荐
数据知道的博客
09-04 2万+
BlackDex可以当做备用的脱壳工具,如果想在未root的设备上脱壳,那么BlackDex是首选工具。
脱壳的几种方法 详细操作步骤
zplove003的专栏
07-20 5464
脱壳的几种方法  详细操作步骤 常见脱壳知识: 1.PUSHAD (压栈) 代表程序的入口点 2.POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个,说明OEP可能就在附近 3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP), 只要我们找到程序真正的OEP,就可以立刻脱壳。    方法一:单步跟踪 1.用OD载入,不分析代码!
壳的机制以及脱壳技术
weixin_41487541的博客
04-12 1893
0 壳的概念 壳是用来保护计算机软件不被非法修改或编译的程序; 其附加在原始程序上,通过Windows加载器载入内存后,先于原始程序执行以得到程序控制权,在执行过程中对原始程序进行解密、还原,还原后把控制权还给原始程序,执行原来的代码; 由于壳能保护自身代码,许多木马和病毒都喜欢用壳来保护及隐藏自身; 对于一些流行的壳,杀毒引擎能先对目标软件进行脱壳,再进行病毒检查。对大多数私人壳,杀毒软件不会专门开发解压引擎,而是直接把壳当成木马或病毒来处理; 处于不同的目的,壳可以分为压缩壳(减小软件的体积)
手动脱壳教程
weixin_44032972的博客
05-21 1万+
一、什么是壳?         壳是指在一个程序的外面再包裹上另一段代码,保护里面的代码不被非法修改或反编译的的程序。它们一般先于程序运行,拿到控制权,然后完成它们保护软件的任务。 二、壳的加载过程 1、保存程序入口参数         加壳程序初始化时保存各个寄存器的值(用堆栈),外壳执行完毕后,再恢复各个寄存器的值,最后再跳到源程序执行。 2、获
黑客系列教程之脱壳的各种方法(转)
08-16 844
黑客系列教程之脱壳的各种方法(转)[@more@]先介绍一下脱壳的基本知识吧! 常见脱壳知识: 1.PUSHAD (压栈) 代表程序的入口点; 2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP...
PE文件的UPX脱壳算法的实现
06-23
最后针对UPX外壳采用动态脱壳设计方案,进行UPX动态脱壳算法的设计与实现,动态脱壳设计思路以外壳程序在内存中还原出原文件为突破口,将加壳文件载入内存使其自行脱壳,并抓取内存映像,完成原文件的构造。...
.net反射脱壳
01-25
<br>程序使用的是 VS2005 C++/CLI 需要相关运行库 mfc80u.dll msvcr80.dll msvcm80.dll... <br>注1:程序没有实现PE dump功能,所以,你需要先使用 petools之类的工具 dump 要脱壳程序集的pe模块,保存到文件...
一个基于xposed和inline hook的一代壳脱壳工具
07-03
所以呢,我们就去hook Application的attach方法,在这个方法执行之前,将我们的动态库加载起来,动态库里面实现的就是对art::DexFile::OpenMemory方法的劫持。这样的话在他解密代码前art::DexFile::OpenMemory就已经...
易语言-防脱壳易语言模块
06-29
用写到内存的方法实现易语言防脱壳模块源码 易语言源码大全
通用脱壳工具
04-18
下面是我粗略测试后,能通过的壳列表,对于保护壳,有可能定位到OEP: ACProtect 1.09、1.32、1.41、2.0 AHPack 0.1 ASPack 102b、105b、1061、107b、1082、1083、1084、2000、2001、21、211c、211d、211r、212、212b212r ASProtect 1.1,1.2,1.23RC1,1.33,1.35,1.40,SKE.2.11,SKE.2.1,SKE.2.2,2.3.04.26,2.4.09.11 Alloy 4.1、4.3 alexprot 1.0b2 Beria 0.07 Bero 1 BJFNT 1.2、1.3 Cexe 10a、10b DragonArmor 1 DBpe 2.33 EPPort 0.3 eXe32Pack 1.42 EXECrypt 1 eXeStealth 2.75a、2.76、2.64、2.73、2.76、3.16(支持,但效果不是很好) ExeSax 0.9.1(支持,但效果不是很好) eXPressor 1.4.5.1、1.3(支持,但效果不是很好) FengYue'Dll unknow FSG 1.33、2.0、fsg2.0bart、fsg2.0dulek GHF Protector v1.0(支持,但效果不是很好) Krypton 0.2、0.3、0.4、0.5(For ALL 支持,但效果不是很好) Hmimys Packer UnKown JDProtect 0.9、1.01、2.0 KByS unknow MaskPE 1.6、1.7、2.0 MEW 11 1.0/1.2、mew10、mew11_1.2、mew11_1.2_2、mew5 molebox 2.61、2.65 morphine 2.7(支持,但效果不是很好) MKFpack 1 Mpress UnKown Mucki 1 neolite 2 NCPH 1 nsapck 2.3、2.4、3.1 Obsidium 1.0.0.69、1.1.1.4(For ALL 支持,但效果不是很好) Packman UnKown PCShrink 0.71 PC-Guard v5.0、4.06c PE Cryptor 1.5 PEBundle 2.3、2.44、3.0、3.2 PE-Armor 0.46、0.49、0.75、0.765 PECompact 1.x PEDiminisher 0.1 PELock 1.06 PEncrypt 4 pepack 0.99、1.0 PELockNt 2.01、2.03、2.04 PEtite 1.2、1.3、1.4、2.2、2.3 PKlite32 1.1 PolyCryptA UnKown peshield 0.2b2(支持,但效果不是很好) PESpin 0.3(支持,但效果不是很好)、0.7、1.1、1.3 PEX 0.99 PolyCrypt PE 1.42 PUNiSHER 1.5(支持,但效果不是很好) RLPack 1.1、1.21,1.6、1.7、1.8 Rubbish 2 ShrinkWrap 1.4 SDProtector 1.12、1.16 SLVc0deprotector 0.61(支持,但效果不是很好)、1.12 SimplePack 1.0、1.1、1.2 SoftSentry 3.0(支持,但效果不是很好) Stealth PE 1.01、2.1 Stone's PE Encryptor 1.13 SVKP 1.11、1.32、1.43 ThemidaDemo 1.0.0.5 teLock 0.42、0.51、0.60、0.70、0.71、0.80、0.85、0.90、0.92、0.95、0.96、0.98、0.99 Upc All Upack "0.1、0.11、0.12、0.20、0.21、0.22、0.23、0.24、0.25、0.26、0.27、0.29、 0.30、0.31、0.32、0.33、0.34、0.35、0.36、0.37、0.38、0.39、0.399" UPolyX 0.2、0.5 UPX "0.51、0.60、0.61、0.62、0.71、0.72、0.80、0.81、0.82、0.83、0.84、0.896、 1.0w、1.03、1.04、1.25w、2.0w、2.02、2.03、3.03、UPX-Scrambler RC1.x" V2Packer 0.02 VisualProtect 2.57 Vprotector 1.2 WindCrypt 1.0 wwpack32 v1.20、v1.11、v1.12 WinKript 1 yoda's cryptor v1.1、v1.2 YZPACK 2.0 yoda's Protector v1.02、v1.03.2、v1.03.3、v1.0b
逆向基础-脱壳
AppWhite_Star的博客
07-30 1812
逆向基础-脱壳
黑客逆向破解基础-1:壳、加壳和脱壳分别是什么?加壳的解压原理介绍。
JankinChan的博客
04-27 9859
一、壳的概念 壳的概念,在一些计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然(但后来也出现了所谓的“壳中带籽”的壳)。由于这段程序和自然界的壳在功能上有很多相同的地方,基于命名的规则,大家就把这样的程序称为“壳”了。就像计算机病毒和自然界的病毒一样,其实都是命名上的方法罢了...
脱壳之加密壳
qq_40655041的博客
08-01 979
脱壳一般流程 信息搜集 查看壳是什么是什么语言编写的,以及是什么类型的壳 搜集到信息可以用于判断壳/OEP 的二进制特征或API特征 vs2013特征: 二进制特征 E8???E9 API特征 GetSystemTimeAsFileTime vc6.0特征 API特征 GetVersion Delphi特征 GetModuleHandleA 找到OEP 可以通过中调用的函数找到IAT表,并从中判...
脱壳的基本步骤
行走在黑暗中的狙击者
09-01 2585
脱壳的基本步骤 1.查壳(ExeinfoPe(推荐)、PEID)---> 2.寻找OEP(OD)--->(寻找过程中如出现代码异常需要先右击分析-->从模块中删除分析) 3.脱壳--->用OD自带的Ollydump直接脱壳,但因此功能比较老bug较多,脱完可能会出现软件无法打开、内存无法读取,无法定位dll等错误,所以一律推荐在XP下运行OD查找到OEP后,使用Lo...
脱壳方法总结
宗泽的博客
06-09 9293
一、单步跟踪法   脱壳方法有很多,先来讲脱壳方法中最基础的单步跟踪法。单步跟踪法就是利用OD的单条指令执行功能,从壳的入口一直执行到OEP,最终通过这个OEP将原程序dump出来。然当,在单步跟踪的时候需要跳过一些不能执行到的指令。   使用单步跟踪法追踪OEP的常见步骤:   1、用OD载入待脱壳文件,如果出现压缩提示,选择“不分析代码”;   2、向下单步跟踪,实现向下的跳转;   3、遇...
脱壳
Jogging Snail的博客
11-24 875
当自己有了想法,却苦于实现的时候,才知道自己的水平。大四之前,一直自以为很聪明,在遇到问题时,往往没有沉淀下来。今天的自己,告诉了老师想去某某某,后面却又加了句话,还得努力一年,当越来越了解自己的时候,也越来越讨厌现在的自己,这时便该脱壳了。以前的自己往往遇事喜欢拖,直到deadline,又会逼着自己加强强度。这段时间一直在找实习,投了一份份简历,却都石沉大海,了无生息,这时才明白,除了之前的自以
脱壳方法汇总
weixin_34217711的博客
05-19 540
一、脱壳基础知识  1、脱壳的概念  在第三章中讲了加壳的概念,与加壳技术相对的就是脱壳技术了。脱壳就是将已经加壳的程序从壳中剥离出来。既然能给程序进行加壳,那也会有相应的脱壳方法。尽管理在有些壳很难脱掉,但是脱壳技术也在不断的进步,而且在不断竞争中发展状大。  2、OEP  OPE的意思就像它的名字一样容易理解。OEP就是原程序的入口点,也就是真正的入口点。  当被加壳的程序运行后,首先运行的是...
脱壳简单总结
weixin_45880501的博客
07-06 2149
title: 脱壳 date: 2021-07-05 14:37:06 tags: RE 脱壳 1.概述: 1.壳: 一:加壳的目的:为了隐藏程序真正的OEP(入口点),防止被破解。 二:加壳软件是一种在编译好可执行文件之后,为了一些特定的需求,而做的一些事情,常见需求有: ​ 有一些版权信息需要保护起来,不想让别人随便改动 ​ 为了让程序小一点,从而方便使用(把可执行文件进行压缩使用) ​ 给木马等软件加壳以避免杀毒软件 三:壳的加载过程: ​ 一般壳的装载过程: ​ (1)获取壳所需要使用的.
confuserex脱壳
最新发布
01-16
confuserex是一种针对.NET程序集的混淆工具,用于加密和保护程序的代码。脱壳是指将被此类混淆工具保护的程序集进行反混淆,使其恢复原来的源代码以进行分析或修改。 要对confuserex进行脱壳,通常需要使用一些特定的脱壳工具或脚本来解除其混淆。首先,需要确定所使用的confuserex版本,并找到相应的脱壳工具。然后,根据程序集的具体情况和混淆方式,可以使用脱壳工具来逆向处理程序集,还原其原始的源代码。 需要注意的是,脱壳本身就是一项技术活,需要有一定的反混淆技术和知识。同时,脱壳也可能会涉及到一些法律和道德问题,因此在进行脱壳操作时需要格外谨慎。另外,需要提醒的是,脱壳可能会违反一些使用协议或法律规定,因此在进行脱壳之前需要对相关法律进行深入了解,并确保自己的操作不会触犯相关法律。 总之,对confuserex进行脱壳是一项复杂而技术性较高的操作,需要在充分了解相关技术和法律的前提下进行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值