ximo脱壳基础(个人学习汇总记录 二 )

于 2019-04-02 08:53:21 发布
阅读量382 收藏 1
点赞数
分类专栏: 脱壳 文章标签: 脱壳
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bukengde/article/details/88962639
版权

本篇从“ximo脱壳基础”教程第16节开始
0x02
(16)脱ACProtect1.32(无Stolen Code)      
1)、设置异常,隐藏OD
选项—>调试设置—>设置内存访问异常
插件—>StrongOD—>Options—>勾选HidePEB

Shift+F9直到程序运行(记录次数)
重载—>Shift+F9直到程序运行(次数-1)—>查看堆栈窗口SE句柄—>数据窗口跟随

2)、SE处下内存访问断点
数据区右键—>断点—>内存访问断点

3)、
Shift+F9一次—>F2下断点—>Shift+F9一次—>F2下断点—>Shift+F9一次—>取消所有断点
(内存访问断点删除:右键断点—>删除内存断点)

4)、
运行到retn处—>ALT+M—>代码段(00401000)下断—>Shift+F9—>到达OEP

(17)脱ACProtect(存在Stolen Code)      
ACProtect之前的版本名字为UltraProtect 1.x

区段可能会有.perplex

常规方法:直达OEP
修复被偷取的代码
修复、成功脱掉!

1)、设置异常,隐藏OD
选项—>调试设置—>设置内存访问异常
插件—>StrongOD—>Options—>勾选HidePEB

Shift+F9直到程序运行(记录次数)
重载—>Shift+F9直到程序运行(次数-1)—>查看堆栈窗口SE句柄—>数据窗口跟随

2)、SE处下内存访问断点
数据区右键—>断点—>内存访问断点

3)、
Shift+F9一次—>F2下断点—>Shift+F9一次—>F2下断点—>Shift+F9一次—>取消所有断点
(内存访问断点删除:右键断点—>删除内存断点)

4)、
运行到retn处—>调试—>设置条件 "push ebp"(条件不唯一)—>调试—>跟踪步入—>复制跟踪到的代码(大概3行,具体根据不同语言变化,二进制复制)
ALT+M—>代码段(00401000)下断—>Shift+F9—>根据缺少代码的大小,向上nop相同大小代码,二进制粘贴—>设置新的EIP—>脱壳(不要勾选重建输入表)—>修复

(18)ACProtect之寻找丢失的S

最低0.47元/天 解锁文章
bukengde
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ximo脱壳基础(个人学习汇总记录 一 )
bukengde的博客
04-02 628
0x01 假期学习了”ximo脱壳基础“,学习过程中有一些记录发出来可以供大家参考。记录中步骤都是以“ximo脱壳基础”中的例子为参考,部分壳进行时需要根据具体情况进行改变,这里的总结步骤不是绝对的过程。 有些方法是通用的,所以会重复出现。 0x02 1)UPX壳(压缩壳) 方法一:单步跟踪 使程序只执行向下跳转,不让向上跳,直到运行...
学习ximo脱壳视频:1、手脱UPX壳
Jaychouzzk
04-22 355
所用工具:Ollydbg(吾爱版)   PEID v0.95运行环境:windows xp使用PEID v0.95查询到,此程序壳为UPX壳使用Ollydbg载入程序对于UPX壳的程序,有四种寻找OEP方法:1.单步跟踪,2.ESP定律,3.一步直达法,4.次内存镜像法1.使用单步跟踪法找到OEP。使用单步步过(F8)一步一步向下执行,遇到向上跳转的语句,将程序运行到下一句继续执行,再继续单步跟...
视频笔记-吾爱破解ximo脱壳视频1~10
I have a dream
04-01 1352
总结归纳一下脱壳的几种方法: 1、单步跟踪法: 即F8一直运行下去,直到找到OEP 向下的跳转可以进行,向上的跳转不能进行 2、ESP定律法: 利用堆栈平衡原理,找到OEP 适用于:大部分的壳。例如:UPX壳、ASPACK、NSPACK、FSG、PECompact、EZIP、EXE32PACK等 3、一步直达法: 利用...
脱壳入门基础
07-15
脱壳入门基础 在一些计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然(但后来也出现了所谓的“壳中带籽”的壳)。由于这段程序和自然界的壳在功能上有很多相同的地方,基于命名的规则,大家就把这样的程序称为“壳”。软件加壳是作者写完软件后,为了保护自己的代码或维护软件产权等利益所常用到的手段。目前有很多加壳工具,既然有矛,自然就有盾,脱壳即去掉软件所加的壳,软件脱壳有手动脱和自动脱壳之分,
学习ximo脱壳视频:2、手脱ASPACK壳
Jaychouzzk
04-22 384
所用工具:Ollydbg(吾爱版)   PEID v0.95运行环境:windows xp使用PEID v0.95进行查壳        此程序的壳为ASPack使用OD载入程序,ASPack壳查询OEP有6种方法,1.单步跟踪,2.ESP定律,3.一步直达,4.次内存镜像,5.模拟跟踪,6.SFX现演示两次内存镜象法、模拟跟踪和SFX法来进行查询OEP一、两次内存镜像法首先使用OD 载入此程序...
M-ximo-com-n除数-GCD-Euclid-s算法
02-14
标题中的"M-ximo-com-n除数-GCD-Euclid-s算法"显然指的是寻找最大公约数(Greatest Common Divisor, ...理解并熟练掌握欧几里得算法不仅有助于解决特定的数学问题,还能为学习更复杂的算法和数据结构打下坚实的基础
inusityproject:可以在任何人参与的项目中展示自己的作品,也可以在演出中获得帮助。 实用主义艺术家计划资助了一辆toda汽车,例如musicas mais votadas,deixando de lado seu gosto pessoal e focando no gosto dopúblico。 Nãoéomáximo
02-12
Nãoéomáximo? ================================================== =========== 英语 Inusity Project是一个创新项目,通过选择艺术家曲目中的歌曲,使观众积极参与他们正在观看的节目。 使用Inusity ...
leetcodeoj和leetcode-squirrel20.github.com:博客
07-07
鉴于经常默默的、自我催眠式的偷懒,决定把每天读过的并且写过笔记的内容记在这里,记录格式如下: [书名 版本][章节信息][日期(YYYY/MM/DD)] [深入理解计算机系统 第2版][2.3.1 无符号加法][2014/08/19] [离散数学]...
男女皆宜的浴室问题:男女两性之间的关系是不可抗拒的,这是一个普遍存在的问题。 O banheiro maispróximo时代的储备apenas para homens。 Entãoela decidiu solicitar ao seu Chefe que torna-se este banheiro um banheiro unissex。 主厨阿科达拉·拉·科菲尔·科斯托杜(O Chefe concordou)亲临马斯普莫斯的历法网。 * O banheirosópode conter ou hom
02-14
O banheiro maispróximo时代的储备apenas para homens。 Entãoela decidiu solicitar ao seu Chefe que torna-se este banheiro um banheiro unissex。 主厨阿科达拉·拉·科菲尔·科斯托杜(O Chefe concordou)...
脱壳学习笔记(四)
PDblue的博客
12-05 434
本文是《ximo脱壳基础》视频教程学习笔记 SFX脱壳法使用OD载入程序,选择“选项-调试设置-SFX-块方式跟踪真正入口处(不一定准确)” 然后重载程序,OD自动跳到了程序的真正入口点
著名的脱壳工具的使用教程
11-03
用于反汇编程序的脱壳软件的使用教程,适用于32位与64位的程序
OD隐藏插件脱themida用
04-07
OD隐藏插件,脱themida用的用Themida1.9.1.0版加密的软件,有很强的反anti能力,在OD v1.10版上不能运行。请在bbc.pediy.com的精华篇中下载okdodo的插件“invisible.dll”,添加到OD文件夹的plugin中,并删除HideOD.dll(或改名为 HideOD.dll.bak)。这样Themida v1.9.1.0加密的软件就可以在OD中运行了
原版OD【附strongOD插件和APIbreak插件】
12-12
脱壳中遇到VMProtect的保护就会直接退出OD,用原版OD则不会被检测到,本资源包附带strongOD插件和APIbreak断点插件,很不多错的,要求En好,对会变要熟悉,他不像其他改版OD直观,需要自己阅读和分析程序
经验证可以调试Themida/WL2.1.0.10的StrongOD Plugin 配置说明
07-01
经验证可以调试Themida/WL2.1.0.10的StrongOD Plugin 配置说明
StrongOD 0.4.8.892.rar
12-31
老外大神脱 Themida 壳要用到的插件,让你的 OllyDbg 更加强大。 Make your OllyDbg Strong!
视频笔记-吾爱破解ximo脱壳视频12
I have a dream
04-01 335
**目标:自校验的去除方法 适用于:当脱壳完成后,程序能运行但报遭修改的错误。修复了IAT之后,程序不能运行** 脱壳完成后,到程序OEP位置 同时打开原程序和脱壳完成后的程序,同时下断点bp CreateFileA 都取消断点,单步跟,比较者不同,发现有一个跳转不同 则把脱壳后的程序这个跳转nop掉,或者改成jz,则程序正常运行 ...
2010.09.28_ximo_纠正下VMP脱壳中的修复DLL的错误
记录点滴
05-06 2170
http://hi.baidu.com/ximo2006/blog/item/ff0d3211f139f7def6039e75.html 用来纠正下《也来谈谈VMP2.05的脱壳》中,那个修复DLL的一些小问题。 主要的问题是出在对于导入的函数为序号时,则当时的代码就会出错。 比如MFC42.DLL中的函数都是按序号索引的,如mfc42.#4710 这时候,如果按这样的代码去获取地址:
2010.10.15_ximo_VMP脱壳后antidump的处理及再谈简单的爆破(带视频)
记录点滴
05-06 1879
http://www.52pojie.cn/thread-67701-1-1.html  发表于 2010-10-15 21:36:31 VMP脱壳后,有个antidump,也就是说,加了VMP外壳后,又VM掉了某关键代码后,脱壳后,就得处理antidump部分,不然程序会出错。 下面就简单的说下我个人的处理方法,当然,方法很多,我能力有限,只会这种垃圾的方法。当然比补区段要看点,补区段实
对Asprotect脱壳的一点总结
Inf的专栏
08-14 2019
对Asprotect脱壳的一点总结 作者:        (职位空缺)上次忘了留下联系电话,这次补上,欢迎各位垂询,小弟我在此静候佳音。热线电话:818-9481818。...你知道这是哪儿的电话号码。.......公厕电话......... @#$@#$ 熏倒 @#$@#$.... 写作日期:    2000-08-11 【声明】 我写文章以交流为主,希望大家在转载时能保持文章的完整性。 【前言
脱壳_详细_涉及到的壳
weixin_30824479的博客
06-12 201
1、手脱UPX壳      常见压缩壳 2、手脱ASPACK壳 3、手脱Nspack壳 4、手脱FSG壳 5、手脱PECompact2.X壳 6、手脱EZIP壳 7、手脱TELock0.98b1壳 8、手脱EXE32PACK壳 9、脱WinUpack加的壳 10、脱壳基本的思路及小结 11、附加数据的处理方法  overlay 12、自校验的去除方法 13、脱壳的简单应用—...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值