[DOC_CRACK]常见壳的脱法

最新推荐文章于 2021-02-03 09:07:35 发布
最新推荐文章于 2021-02-03 09:07:35 发布
阅读量1.1k 收藏
点赞数
分类专栏: DOC 文章标签: header
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Gue/article/details/1653756
版权

------------------------------------------------------------------------------------------------- 

;;FSG 2.0 -> bart/xt

单步到popad下面

堆栈里的LoadLibrary上面的地址就是入口地址

------------------------------------------------------------------------------------------------- 

;;PEncrypt 3.1 Final -> junkcode

进入载入点第一个CALL,返回以后就是入口地址

------------------------------------------------------------------------------------------------- 

 ;;Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks (单进程标准壳)

首先忽略所有异常

下断bp GetModuleHandleA+5,shift+f9运行,直到堆栈看到ASCII "kernel32.dll"时取消断点后alt+f9返回.

把je改为jmp让跳转实现.然后跟随跳,在循环出口处下断点,f9运行.把刚才修改的jmp指令还原.

打开内存映射,在PE Header下面的段下访问断点.然后shift+f9运行程序.然后单步走,看到call ecx跟进去就是OEP了.

Dump出来以后把无效的IAT条目Cut掉.

------------------------------------------------------------------------------------------------- 

;;PECompact 2.x -> Jeremy Collake

方法一:

载入以后直接跳转到mov到eax的地址下断.取消断点以后向下查找jmp eax指令下断,跟随jmp之后就是OEP

方法二:

载入后的第二句下硬件访问断点,F9 2次就到达OEP的第二句.

 

Gue
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
有关与脱方法
weixin_43916678的博客
07-15 953
的概念 最早出现是一种专用加密软件技术,用于保护程序不被静态分析。 某些病毒木马程序也利用加技术来躲避杀毒软件的查杀。 是一段专门保护软件不被非法修改或反汇编的程序。它们一般都是先于程序运行,拿到控制权。 加的全称应该是可执行程序资源压缩,是保护文件的常用手段。加过的程序可以直接运行,但是不能查看源代码。要经过脱才可以查看源代码。 常见主要分两类 压缩:压缩的特点是减少软...
RenderDoc_1.8_64.msi
06-15
RenderDoc_1.8_64,Window版本,官网也可以下载,但是网速慢。上传CSDN方便后续使用。
几个常见的脱
weixin_33881041的博客
12-28 206
ASPack 按步就班 不能让程序往上跳,否则会进入的循环。一直走(F8),走到一个大跳转的时候,那个很有可能就是程序的入口。   ESP寄存器 当八个寄存器没有变化是ESP地址变化,将找到对应的地址下断点,然而运行,运行附近的代码找到大跳转进入程序入口进行脱。  PECom...
逆向分析系列——常见类型
任浩的博客
02-03 1984
一、压缩: 1、UPX 2、ASPack 3、PECompact 4、RLPack 5、NSPack 二、保护: 1、ASProtect 2、Armadillo 3、EXECryptor 4、Themida 5、VMProtect 三、捆绑: MOleBox
各种语言常用的特征
weixin_30432007的博客
04-05 593
闲得无聊搜集的一些OEP和Section,希望能对研究脱的朋友们帮上一点小忙。**********************************************************************BorlandC++1999.text.data.tls.rdata.idata.edata.rsrc.reloc00401000Find>$/EB...
[DOC_CRACK]破解常用断点设置
Gue_Studio
06-02 1591
破解常用断点设置     软件破解的主要工具是OllyD,如何在OllyD中设置好断点对于破解的成功是非常重要的,面列举了 一些常用的断点设置,这些断点同样适合于softice/Trw2000,两者基本上是兼容的。 bpx hmemcpy 破解万能断点,拦截内存拷贝动作 (注意:Win9x专用断点,XP无效)bpx Lockmytask 当你用其它断点都无效时可以试一下,这个断点拦截按键的动作 实
doc.rar_doc_document
07-15
hii iam dilip im from hyderabad
UDP_Echo.zip_UDP doc_UDP 目录_doc
09-21
N年前为测试防火墙的NAT功能写的一个测试程序,采用windows socket编程,Client构造UDP报文发给Server,Server收到后返回应答。Doc目录下是当时搜集到的一些windows socket以及多线程编程相关的资料。
jsp-xml-mysql.rar_doc_xml_编程 总结
09-19
java/xml/Mysql编程的资料和总结,包括以下几个文件 javalx.chm Jsp基础知识总结.doc JSP入门教程.doc MySQL.doc PHP MySQL.doc PHP_MySQL教程.chm xml轻松学习手册.doc
wangzhanceshi.zip_doc_qtp
09-21
QTP测试资料,下载后将后缀改为.doc
logicaldoc破解版
11-20
ogicaldoc破解版软件是一个开源的企业文档管理系统,如果企业文档较多,可以使用这款软件进行管理,方便用户索引、检索、控制和分发文档。
XLS DOC破解器
04-03
XLS DOC破解器
工具简介
Hank's Techblog
10-15 4039
<br />1.程序编写语言: <br />常见的程序制作语言有:<br />Borland Delphi 6.0 - 7.0<br />Microsoft Visual C++ 6.0<br />Microsoft Visual Basic 5.0 / 6.0<br />还有汇编、易语言等。 很多软件都通过加保护来提高软件的破解难度,下面我们简单的介绍一下加工具。 <br />2.软件加工具介绍: <br />II 压缩介绍: <br />常见压缩有:ASPack、UPX、PeCompact、N
认识常见与程序的特征
行走在黑暗中的狙击者
09-01 2019
认识与程序的特征 国内接触到程序比较流行的编译器有:VC系列、易语言、.NET、Delphi,VB、ASM、BC++,AutoIt、PB、QT等,实例来看看“入口点代码”、“程序区段”和“加载模块”等特征。 VB6特征: VC6特征: 入口点代码是固定的代码,入口调用的API也是相同的,其中有的push地址不同程序可能不同;区段有四个也是固定的.text、.rdata、.data和....
简单尝试脱某加固的DEX--二代抽取(dexhunter)
zhangmiaoping23的专栏
12-13 1108
0x00 序 第一次尝试脱dex,样本是在“*****”官网上免费加固的,非商业版。 本文只是做些简单的笔记,给像我一样的逆向新手们提供点思路,高手们不要见笑。0x01 加固包和原包对比 加固后的classes.dex文件变大了,脱到JEB里面发现多了一些代码和一些垃圾类(jpvbhn、cioub、flsye…)。 原包中,很多类方法的指令被抽空了,如下面的onCreate。 将assets目...
[DOC]我的vimrc 设置
Gue_Studio
11-15 1438
;;文件_vimrcset nocompatibleset encoding=utf-8language messages zh_CN.utf-8filetype plugin indent onset nuset wrap!set shiftwidth=4set softtabstop=4set expandtabset aiset nobackup""source $VIMRUNTIME/
[DOC]Aspack2.11脱笔记
Gue_Studio
10-20 1423
   最近正在学点脱..从网上找来手动脱入门十八篇.刚看到第四篇讲Aspack2.11的脱..看了前面的UPX脱.感觉入门的东东.应该不会太难..So,来自己先脱一次..脱不了再看教程..:)..说干就干..PEID查了是Aspack2.11  OD载入.选择不继续分析.忽略所有异常 .0040D001   60              pushad             
解决HP1005开机只预热不工作问题
最新发布
08-19
解决HP1005开机只预热不工作问题
python中__doc__
08-30
在Python中,`__doc__`是一个特殊的属性,用于获取对象的文档字符串(docstring)。文档字符串通常用于提供关于对象的描述和使用说明。它可以用来记录函数、类、模块等各种类型的对象。 通过访问`__doc__`属性,我们可以获取对象的文档字符串。例如,对于一个函数`foo`,可以使用`foo.__doc__`来获取其文档字符串。如果文档字符串不存在,或者对象没有定义`__doc__`属性,那么将返回`None`。 下面是一个示例,展示了如何使用`__doc__`获取函数的文档字符串: ```python def add(a, b): """ This function takes two numbers as input and returns their sum. """ return a + b print(add.__doc__) ``` 输出结果为: ``` This function takes two numbers as input and returns their sum. ``` 注意,使用`__doc__`属性只能获取文档字符串的内容,无法修改它。如果你想修改文档字符串,需要重新定义对象并提供新的文档字符串。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值