脱壳八法

最新推荐文章于 2022-09-24 11:10:47 发布
最新推荐文章于 2022-09-24 11:10:47 发布
阅读量451 收藏 2
点赞数
分类专栏: # re
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ga4ra/article/details/102001024
版权

文章目录


第一个esp定律会写得详细一些。

1. ESP定律

有pushad,寄存器只改变esp,基本上就能用。

硬件断点只要从这个地址开始就行,选多少个字节都行。

注意观察大的跳转,ctrl+a或删除分析。

用完后记着删除,不然可能影响后面分析。

如果不知道是否重建输入表,那就两个都试一下。打不开的删除就好了。

2. 单步跟踪

如果有pushad,要注意popad。

注意peid查语言,了解入口特征!!!!!!!!!!!!!!!!

3. 两次断点

调试设置-异常-全部打勾,即忽略全部异常。

  1. 在M窗口的程序领空段下cc断点,shift+f9(忽略异常运行);
  2. 再在壳的段下cc断点,shift+f9.

4. 最后一次异常

与两次断点法相反,调试设置-异常-全部不打勾,捕获所有异常。

按shift+f9,数着按多少次,程序能正常开启。视频里按了两次,所以有一次异常。

重启,按一次shift+f9,在堆栈里可以看到SE处理程序。在这里右键-反汇编窗口跟随,下cc断点,shift+f9,中断在这里,然后单步跟踪。

发现popad后遇到jmp,没有向上或向下的箭头,而是“-”,说明是很大的跳转。跳过去就是OEP了。

5. SFX

这个方法很简单。

调试选项,异常全部打勾, SFX选择“字节方式跟踪真正入口处(非常慢)”。

SFX: Self File Extracting.

然后重载,状态栏会显示跟踪中,找到后会自动停下来。

这种方法用完后记着把SFX勾回“停在自解压的入口处”

6. 模拟跟踪

查看M窗口壳在当前区段xxxxx000,command输入tc eip < 起始地址,就会开始跟踪。非常非常慢。所以模拟跟踪也不是一开始就这样用的。

借用两次断点法,现在rsrc区块下cc断点,shift+f9,再在text下cc断点,shift+f9。

现在,可以用命令tc eip<xxxxx000了。

网课的几个案例text否是01xxxxxx区块,而不是00401000。要判断一个程序的基址,可以查看E窗口。

7. 出口标志

回忆一下,之前说过popad很关键。所以可以ctrl+f搜索popad。

注意不要搜索整个块,而且像ASpack这样的壳会有多个popad,要注意popad之后的命令,判断应该在哪里f4。一般一个个试,跑飞了就寻找下一个ctrl+l

8. 秒到OEP

直接运行,堆栈窗口从高地址往低找返回到程序名.地址,其中就有OEP,反汇编跟随。

在OEP处数据窗口跟随,下硬件执行断点,重载运行。

有些强壳(视频中的案例是zp壳),找到某个程序名.地址删除分析后,堆栈才会显示一个个栈帧,然后才会显示返回到...

确定OEP脱壳后,特征明显不对,程序也没法执行,这时就需要LordPE,对该文件右键-修正镜像大小,右键-完全脱壳, 最后用impREC修复OEP,并自动查找IAT,获取输入表,查看无效函数,删除(没有dll的)指针

CodeStarr
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
脱库&站库分离渗透&解决MySQL禁止外连
Love&Share
11-22 1万+
文章目录打包数据库文件SQL语句打包数据库MySQLSQL server使用工具打包数据库站库分离渗透站库分离判断方法站库分离利用思路推荐阅读站库分离打包数据库解决MySQL禁止外连蚁剑Navicat tunnel隧道 打包数据库文件 access 数据库:mdb格式直接下载 MySQL数据库:在路径mysql/data/下存放所有数据库,直接将文件夹复制到web目录tar打包下载 mssql数据库:msdbdata.mdf msdblog.ldf 两个文件复制,直接下载 SQL语句打包.
撞库、脱库和洗库
热门推荐
GMaya的博客
04-24 1万+
撞库 “撞库”一般就是指黑客拿到已经泄露的用户信息,然后去各个网站进行登录,一旦你的账号密码在各个网站都一样,那么就相当于撞库成功。 建议:各个网站的登录账号和密码不要一样。 脱库 “拖库”就是黑客通过技术手段,盗取数据库信息的过程。 建议:做防sql注入,文件上传漏洞等。 洗库 “洗库”就是将得到的数据信息进行贩卖。变现。 ...
脱壳大法
z1103758的博客
03-29 5246
ESP定律 1.OD载入 2.F8寄存器窗口找到红色ESP 3.右键数据窗口跟随 4.选中数据硬件访问 5.F8到OEP,从模块中删除分析 6.F8右键 用OllyDump脱壳 单步跟踪法 1.OD载入 2.F8到有跳空运行记录下来,重新运行F8到跳空的地方F7 3.F8到有向上执行的,选择向上执行的代码的下一行F4 4.F8到OEP 5.用OllyDump脱壳 两次断点法(内存镜像法) 1.OD...
系统脱库与多级缓存
梦里蓝天
01-10 2597
1. 组件设定缓存过期时间 public List queryorder(order vo) if(缓存为空){ list= queryByCache(vo);//从数据库中读取数据 } return list; } 2. 代码设定缓存逻辑过期,可脱库运行 方法是利用时间戳,査询默认以 缓存数据为主,每次设置数据的时候放入一个时间戳,每次读取数据的时候用系统当前时间和上次设置的这个时间...
OD脱壳大法
老北京砸酱锤的博客
06-22 3880
一、esp定律法 进入程序,第行为pushad 单步步过(F8)一下,查看寄存器,当8个寄存器只有esp为红色时,右击红色地址,选择数据窗口中跟随。在左下角的窗口中可以看到,自动跟随到红色地址。 选中若干数据,右击选择断点-硬件访问-(byte,word,dword 任意选择)注:只是访问的字节数不同。 运行(F9)到达断点处,单步步过(F8)几下, 进入到不是不认识的代码地方 ,右键点击分析-从模块中删除分析。 在当前窗口右键选择dollydump脱壳调试进程,分别脱壳两次,不同之处是重建输入表
单步跟踪法脱壳.zip
09-12
单步跟踪法脱壳是逆向工程中的一个重要技术,它涉及到对可执行程序的深入理解和调试技巧。在本文中,我们将详细探讨这个主题,并结合给定的文件资源进行阐述。 首先,我们需要理解什么是"脱壳"。脱壳,或者称为反壳...
“爱加密” 动态脱壳法 - 我是小三 - 博客园
04-03
这样就得到了解密后的DEX开始地址与大小,R0为存放DEX数据开始地址,R1为Dex大小,Dump出来。 8.写个简单的过idc脚本将其dump出来,开始地址加上dex大小就是结束地址了。 0x446DC4E4为开始地址加上大小后等于0x4472...
Themida - Winlicense Ultra Unpacker 脱壳教程
最新发布
05-08
脱壳脚本(Themida - Winlicense Ultra Unpacker 1.4) 2. 查壳软件ExeinfoPE 3. 其要用的插件有:ODbgScript、PhantOm、StorngOD,这些插件我已经在压缩包里面准备好了,请大家尽情享用。 4. 还有一点要叮嘱的就是...
360脱壳工具
03-06
7. **风险与合规性**:值得注意的是,未经许可的脱壳和修改他人应用可能违反版权法和软件许可协议。合法的使用场景通常限于个人学习、研究或安全分析,而商业用途需获得原软件作者的授权。 8. **安全挑战**:对于...
Themida脱壳.rar
07-20
Themida脱壳脚本:https://www.52pojie.cn/thread-290732-1-1.html
打开脱裤后的数据库文件
08-14
打开脱裤后的数据库文件,打开之前尽量先了解什么格式
第四课_详解几种常见脱壳方法
07-15
第四课_详解几种常见脱壳方法,让你最快最完善学会
Eight methods of shelling(脱壳大法)
nanzhicraft的博客
04-03 259
ESP定律 1.OD载入 2.F8寄存器窗口找到红色ESP 3.右键数据窗口跟随 4.选中数据硬件访问 5.F8到OEP,从模块中删除分析 6.F8右键 用OllyDump脱壳 单步跟踪法 1.OD载入 2.F8到有跳空运行记录下来,重新运行F8到跳空的地方F7 3.F8到有向上执行的,选择向上执行的代码的下一行F4 4.F8到OEP 5.用OllyDump脱壳 两次断点法(内存镜像法) 1.OD...
linux安装node和达梦数据库8
bch-q的博客
09-24 1007
本次测试只是为了项目需要,但是在部署和启动程序的时候发生了一系列的报错,由此记录下来为日后作参考
【DM8】Linux下安装DM8+初始化+开启服务(命令行)
weixin_33209489的博客
08-22 946
进行安装前准备工作,同图形化安装前准备工作,具体见 Linux下图形化安装DM8 使用命令行安装DM,选择安装语言并设置时区,选择典型安装 选择安装目录,确认路径并安装 安装结束后,初始化数据库 开启数据库服务,分为前台方式和后台方式(注意:若开启新方式,需把另一个方式关闭,无法同时开前台和后台方式) 前台:cd /dm/dmdbms/bin ./dmserver /dm/dmdatas/DAMENG/dm.ini 后台: 使用disql连接数据库 结束 ..
因为存储离线造成的ORA-600(2662)错误的解决
一名DBA的学习和成长记录
08-18 4511
前两天同事在测试DATA GUARD的时候将主库的ONLINE日志意外覆盖,造成数据库无法打开,采用隐含参数的方法打开又碰到ORA-600错误,最后采用设置EVENTS的方式解决。 由于是在别人的机器上操作,而且很多操作都是摸索进行,因此没有将操作记录下来。现在打算重现一下问题并简单记录解决过程。 上篇已经描述了问题的产生步骤,下面描述解决这个问题的方法。 ORA-600(2662)错误的重
VB程序的脱壳技巧
积累点滴,保持自我
06-06 4175
自己来解决吧,也许能搞出个自创的方法,叫什么Monster脱壳法。 在这里大家必须了解一引些小知识。 VB程序的启动方式:每个VB程序通常都会调用到许多的API,但是其中有一个API是雷 打不动的,这就是我们都知道的ThunRTMain函数。VB程序在运行时,都会首先调用 ThunRTMain函数,ThunRTMain函数将会为程序初始化进程,并获取进程ID等做一些
关于几种常用的脱壳方法总结
xiaoyuai1234的博客
05-04 9507
最近一直在学习壳的破解,和大家分享一下几种常用的脱壳方法 1.esp定律 使用PEID查壳,了解壳的属性 载入OD,F8单步运行,注意寄存器的窗口 这个时候会发现只有ESP后面对应得数据为红色,我们就应该知道,可以使用ESP定律了,单击红色的ESP右键会出现HW break esp的选项 然后重载运行,单击F8,到达OEP,然后使用OD自带的脱壳插件 (oep的标志)you
电脑端破解之秒到oep
luoawai的博客
11-08 386
asp壳_秒到oep 右下角窗口段尾找asp...,然后反汇编跟随,分析,删除模块,到段首asp...,,向上找,得oep 两次断点法 按m到内存,名字加arsc,f2下断,shift+f9,再m,名字加pe文件头下一个,f2下断,shift+f9,单步跟踪到oep oep才是破解的开始,不然不能直接修改代码进行破解。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值