下面是我的脱壳。
手动脱壳
1.ESP定律法查看通用寄存器ESP,数据窗口跟踪。F8单步步入,F4禁止向上跳转
2.单步跟踪法F8单步跟踪,遇CALL F7进入。直到到达OEP,经过多次F8,F4终于到达OEP了,恒大的第三课的跳转好多,逢向上的跳转,用F4。
3.脚本脱壳法这个不需多说了。
4.软件脱壳法,此法完美脱壳,win7 x64下测试通过,正常运行,并且区段无upx0,upx1
5.一步到达oep法,前辈总结的经验。查找POPAD,不要勾选整个块。向下走几步。就可以到达oep,适用于部分壳。POPAD 出栈。
6.内存镜像法,经过两次调用内存,然后在.risc处下断点,最终到达OEP。内存 .rsrc 下断 shift+F9 运行再内存找CODE(资源)下断再执行出来单步跟
以上方法,除了用脱壳机以外,用ollydump脱壳调试进程,用方式一(在内存镜像中搜索JMP[API]︱CALL[API])重建输入表,后会提示,如下图,可能与我x64有关。
如果用方式二(在脱壳文件中搜索DLL&API名称)的话,会提示
还有种方式Lordpe完,重建输入表,我没配置好工具,吾爱专版的不会用,未测试。
用peid查壳后,发现ep