本文介绍了如何使用OD(OllyDbg)进行动态脱壳,重点在于寻找入口点(OEP)。通过单步跟踪、跳过不必要的跳转指令,最终在00401150处找到OEP。然而,尝试使用OllyDump脱壳并未成功,说明了简单的脱壳方法可能并不适用于所有加壳程序。脱壳的主要目的是为了接近原始程序代码,便于分析和免杀处理。
ReadMe.txt文件内容是:
提示是要找到入口点,之后找到ex寄存器的00401000处的内容。
- 参照大佬思路:
1、用OD载入待脱壳文件,如果出现压缩提示,选择“不分析代码”;
2、向下单步跟踪,实现向下的跳转;
3、遇到程序往上跳转的时候(包括循环),在回跳的下一句代码上单击并按键盘上的“F4”键跳过回跳指令;
4、OD中的白色线条表示跳转没有实理,不必理会,红色线条表示跳转已经实现;
5、如果刚载入程序的时候,在附近有一个CALL指令,那么就要按键盘上的“F7”键跟进这个CALL内,不然程序很容易运行起来;
6、在跟踪的时候,如果执行某个CALL指令后就运行,一定要按键盘上的“F7”键进入这个CALL之内再单步跟踪;
7、遇到在popad指令下的远转移指令时,要格处注意,因为这个远转移指令的目的地很可能就是OEP
脱壳过程
放到OD进行执行,出现提示要不要代码分析,选择否,如果选择了是,OD加载每次默认都会选择是(根据文件名加载),这个时候可以把要加载的文件的名字改一下,它就会按照第一次加载时的情况进行加载,或者可以调一下设置不记录历史参数选项
最低0.47元/天 解锁文章
1809
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
