OD脱壳八大法

最新推荐文章于 2024-10-03 16:47:15 发布
最新推荐文章于 2024-10-03 16:47:15 发布
阅读量4k 收藏 13
点赞数 4
文章标签: 反汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyh0519111/article/details/118107474
版权

一、esp定律法

进入程序,第行为pushad

单步步过(F8)一下,查看寄存器,当8个寄存器只有esp为红色时,右击红色地址,选择数据窗口中跟随。在左下角的窗口中可以看到,自动跟随到红色地址。

选中若干数据,右击选择断点-硬件访问-(byte,word,dword 任意选择)注:只是访问的字节数不同。

运行(F9)到达断点处,单步步过(F8)几下, 进入到不是不认识的代码地方 ,右键点击分析-从模块中删除分析。

在当前窗口右键选择dollydump脱壳调试进程,分别脱壳两次,不同之处是重建输入表选中和不选中。

程序会因为勾选或者不勾选打不开。

二、单步跟踪法

点击单步步过,直到遇到打开程序的call,就单步步入,当遇到向上跳转的时候可以选中下一条,右键断点-运行到所选位置(F4),直接跳过循环。

以此进行下去,直到看到popad,差不多快到oep了

三、最后一次异常法

在选项-调试设置-异常 将所有勾取消

shift+F9查看按几次程序可以正常打开

重新载入程序,shift+F9执行能够打开程序的前一次

之后在右下角的框中可以看到SE开头的一个字段,右键选择反汇编窗口跟随

在自动选择的那一行下F2断点,再按一次shift+F9会中断下来

之后单步不过当看到popad差不多快到oep了

到达oep后选中第一行,右键ollydump脱壳调试进程 分别选中重建shushu如表和不重建输入表脱壳。

四、SFX自动脱壳法

选项-调试选项-SFX 选择字节方式跟踪真正入口处

直接重载程序,等待即可

五、模拟跟踪法

打开程序 alt+M 可以看到SPX,输入表的地址

在下方command框中输入 tc eip +(spx,输入表的地址)

但是一般不建议直接使用,这里需要结合之前的两次断点法,先接近oep

如果使用两次断点法之后程序跑飞了或者找不到了,可以建议使用此命令。

六、两次断点法

在使用两次断点法时,首先需要设置OD,选择选项-调试设置,在异常栏中将所有勾选。

点击alt+M,在(.rsrc)设置断点(F2),之后忽略异常运行(shift+F9)

之后再alt+M,这次在.test/UPXO区段下断点(F2)

随后F8单步,走到popad,并且有个大跳转

到达oep(程序入口点)

七、出口标志法

一般打开程序是标志是psuhad,出口的标志是popad,那就右键查找-命令输入popad,选取整个块的选中,点击查找,在查找到的popad点击F4,如果程序被打开了那就查找下一个popad,右键查找-下一个,直到当程序F4运行到popad未打开程序时,F8向下,一般可以到达oep

八、8秒到oep法

打开程序,运行程序 右下角窗口拉到最下面向上翻,找到第一个程序名.(地址)右键点击反汇编窗口跟随,之后在程序块中右键分析-删除分析

之后在右下角的窗口再向上翻,找到当前块的第一行,右键点击反汇编窗口跟随,然后在反汇编窗口向上翻找到段首找到oep,然后右键点击数据窗口跟随-选择,再下方数据标红出右键断点-硬件执行

之后重新载入运行。看到oep脱壳就行。一般弱壳就可以了,但是遇到强壳还需要进行如下操作

用将程序放入lordpe右键-纠正镜像大小,然后右键完全转存

之后打开importrec选择程序(程序不能关闭),将程序的oep地址改外正确地址,点击自动查找IAT,再选择获取输入表,点击查找无效函数,右键无效的函数,点击删除指针

最后点击转存到文件

至此强壳脱掉

老北京砸酱锤
关注
OD 手动脱壳 - UPX
文公子的博客
08-03 3332
OD 手动脱壳 - UPX 1. 准备工作 1.OD 吾爱破解版 链接:https://pan.baidu.com/s/1ErDTW3D1n_XTAfTh8uMEbQ 提取码:tr45 2. 待脱壳程序 test2.exe 链接:https://pan.baidu.com/s/1GUseFGIB8jnrhGE_0bSZoA 提取码:xki4 3. 查壳工具 PEiD 0.95 链接:https://pan.baidu.com/s/1WUBRRcmu19CxKCh8u
壳的介绍以及脱壳常用思路【收藏】
晏斐的Blog
09-10 1671
一、概论壳出于程序作者想对程序资源压缩、注册保护的目的,把壳分为压缩壳和加密壳两种UPX ASPCAK TELOCK PELITE NSPACK ...ARMADILLO ASPROTECT ACPROTECT EPE SVKP ...顾名思义,压缩壳只是为了减小程序体积对资源进行压缩,加密壳是程序输入表等等进行加密保护。当然加密壳的保护能力要强得多!二、常见脱壳  预备知识1.P
寻找OEP
吖吖狼 的专栏
03-26 8442
1、使用ESP定律 OD载入后,F8一次,在寄存器窗口的ESP的内容上(如0012FFA4)右键:“在数据窗口中跟随”,到内存数据窗口,将内存数据窗口以HEX数据形式显示,在刚才的地址起始位置上(如0012FFA4)上右键:“断点”->“硬件访问”->“字”,F9直接运行,再F8一次或二次,一般会到push ebp这句代码,这句代码所在的地址,就是OEP。   2、二次断点 OD载入后,
「 收集几种用OD脱壳」2024年10月3日
weixin_46221682的博客
10-03 410
5.如果刚载入程序,在附近就有一个CALL的,我们就F7跟进去,不然程序很容易跑飞,这样很快就能到程序的OEP 6.在跟踪的时候,如果运行到某个CALL程序就运行的,就在这个CALL中F7进入 7.一般有很大的跳转(大跨段),比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN的一般很快就会到程序的OEP。方四:一步到达OEP 1.开始按Ctrl+F,输入:popad(只适合少数壳,包括UPX,ASPACK壳),然后按下F2,F9运行到此处 2.来到大跳转处,点下F8,到达OEP!
OD脱壳的基本方
weixin_30677073的博客
11-19 525
一、概论 壳出于程序作者想对程序资源压缩、注册保护的目的,把壳分为压缩壳和加密壳两种UPX ASPCAK TELOCK PELITE NSPACK ...ARMADILLO ASPROTECT ACPROTECT EPE SVKP ...顾名思义,压缩壳只是为了减小程序体积对资源进行压缩,加密壳是程序输入表等等进行加密保护。当然加密壳的保护能力要强得多! 二、常见脱壳预备知识 1...
OD脱壳的基本方
12-23
OD脱壳的基本方 目前脱壳指南 很值得学习
脱壳--03.exe OD脚本脱壳
weixin_45012273的博客
02-08 1341
和02程序类似 但是我们换一种方式脱壳 就是利用OD脚本脱壳 我们通过02程序知道壳代码在获取真正的api地址以后 会对api地址做一些处理 然后在填写到iat表中 在我们调用api的时候 并没有直接调用到api 而是加密后的api的代码 脚本的框架:只需要知道三个地址 获取真正api的地址 填写iat的地址和oep的地址 得到获取真正api的地址把api地址存放在一个临时变量里 中间不管他怎么加密 到填写IAT表的时候 都会填写我们事先保存的临时变量里的api的地址 我们现在只要调试出这三
脱壳
Starr
10-03 481
文章目录1. ESP定律2. 单步跟踪3. 两次断点4. 最后一次异常5. SFX6. 模拟跟踪7. 出口标志8. 秒到OEP 第一个esp定律会写得详细一些。 1. ESP定律 有pushad,寄存器只改变esp,基本上就能用。 硬件断点只要从这个地址开始就行,选多少个字节都行。 注意观察大的跳转,ctrl+a或删除分析。 用完后记着删除,不然可能影响后面分析。 如果不知道是否重建输入表,那就两...
二进制脱壳
10-06
5. **Debugging Tools**:常用的调试工具包括OllyDbg(OD)、WinHex等。 #### 三、具体脱壳 ##### 1. 单步 这种方适用于寻找OEP。首先定位到`pushad`指令,然后通过单步执行,观察ESP的变化。当ESP指向的...
手动脱壳简简单单
04-28
手动脱壳简简单单 手动脱壳是指在逆向工程过程中,为了分析和研究软件的内部结构,需要将加壳的文件分离出来的过程。...通过单步跟踪、堆栈平衡等方,可以成功地找到OEP,脱壳软件,分析软件的内部结构。
【安卓逆向】徒手脱壳的几种方
XxANdBb20的博客
01-06 1660
首先我们先来说说壳的原理吧,简单说下就好,带壳程序运行以后,都会做哪些事情呢? (想要了解更多的朋友们就去读看雪大哥的《加密与解密(第三版)》吧) 1、保存现场(pushad/popad,pushfd/popfd)>>2、获取壳自己需要的API地址>>3、解密原程序各个区块>>4、IAT的初始化>>5、重定位>>6、Hook-API&gt...
OD自带脱壳脚本
07-04
反汇编工作的常用工具,OD附带了118脱壳脚本和各种插件,功能非常强大,基本上不需要再附加安装其它插件了。
od脱壳软件破解工具
09-22
但愿大家互相进修进修,大家对于破解都不是很了解,人们想学破解,可是去无从入手,所以决议为大家写1个破解初级读物的教程,但愿能大家了解破解有一些帮忙,但愿能有更多的人踏入破解的大门   1.低级,修改步伐,用ultraedit等东西修改exe文件,称暴力破解,略称爆破   中级,追出软体的注册码   高级,开具注册机   2.经常使用破解东西   (1)侦壳东西:PEiD   (2)消息联合的OllyDbg引领破解东西的新潮水   一,此刻咱们起首来进修下破解的开端,爆破~   1.侦壳   要破解1个软体起主要做的就是侦壳,要侦壳就要对壳有绝对似的了解,家喻户晓,软体作者用编程语言编著好软体后,是将它编译成扩展名为EXE的可执行文件编译为EXE的目的有两点:   (1)有一些版权信息需要掩护起来,不克不及让别人随心改动,如作者的姓名、软体名称等;   (2)需要给步伐"瘦身",从而利便存储、使用以及网上传道输送   为了编译,会用到一些软体它们能将可执行文件压缩以及对信息加密(图1),实现上面所说的两个功效,这些个软体称为加壳软体为软体加上的东东就称为"壳"加壳软体差别于一般的WinZIP、WinRAR等打包类压缩软体加壳软体是压缩可执行文件的,压缩后的文件可以直接运行   最多见的加壳软体有3个:ASPACK 、UPX、PEcompact终究它们是主流,据计数,用它们加壳的软体约占市面所有软体的90%!其它不经常使用的加壳软体有ASPROTECT、PETITE 、NEOLITE、TELOCK等软体最多见的编程语言是Delphello,Visual Basic(略称VB),Visual C++(略称VC)了解些编程的常识,会让破解更加轻车熟道   底下来讲侦壳,此刻比力经常使用侦壳软体就PeiD,他具备华美的图形界面外壳整合(新增到鼠标右键)功效令使用更加利便,撑持拖放操作配置时,务请将"扩展到鼠标右键"打上对号   其使用要领是,鼠标点住XX.exe,按鼠标右键,选"使用PEid扫描"便可;"壳"的信息就显示在底部   2.破解东西OD   有关OD的先容我把他放到附件里了,这个是看雪论坛的先容,是比力周全的,至少我感觉比我写的要好,所以大家根据他可以大好的了解OD   3.爆破实例   爆破是破解的开端,所说的爆破,就是指路程经过过程修改可执行文件的源文件,降临达相应的目的你半大白?呵呵,举个例子好了,好比说某同享软体,它比力用户输入的注册码,要是用户输入的,跟它路程经过过程用户名(或其它)算出来的注册码相等的话(也就是说用户输入的注册码不错了),那末它就会跳到注册乐成的处所去,不然就跳到堕落的处所去   大白过来了吧,咱们只要找到这个跳转指令,把它修改成咱们需要的"造型",如许,咱们是否就可认随心所欲了?   一,破解时经常使用的汇编指令如下,汇编较弱者可先强行违住,以后就可逐步理解了   cmp a,b //比力a与b   mov a,b //把b的值送给a,使a=b   ret //归回主步伐   nop //无效用,英文"no operation"的简写,意思是"do nothellong"(呆板码90) (解释:ultraedit打开编辑exe文件时瞅见90,等同于汇编语句nop)   call //挪用子步伐,子步伐以ret末端   je 或jz //若相等则跳(呆板码74 或0F84)   jne或jnz //若不相等则跳(呆板码75或0F85)   jmp //无前提跳(呆板码EB)   jb //若小于则跳   ja //若大于则跳   jg //若大于则跳   jge //若大于等于则跳   jl //若小于则跳   jle //若小于等于则跳   pop xx //xx出栈   push xx //xx压栈   更为具体的指令请查阅汇编册本   4.破解常见修改,参看表1   汇编指令修改 相应的呆板码修改(路程经过过程16进制编辑器实现)   jnz/jne->nop 75->90   jnz/jne -> jmp 75-> EB   jz/je->nop 74->90   jz/je -> jmp 74-> EB   jnz -> jz 75->74 或 0F 85 -> 0F 84   jz -> jnz 74->75 或 0F 84 -> 0F 85   jnz -> jz 75->74 或 0F 85 -> 0F 84   je-> jne 74->75 或 0F 84 -> 0F 85   表1
OD破解工具脚本大全(附118种脱壳脚本)
09-21
Ollydbg 通常称作OD,是反汇编工作的常用工具,该Ollydbg吾爱破解专版是基于Ollydbg V1.10版本汉化而成,吾爱破解OD附带了118脱壳脚本和各种插件,功能非常强大,基本上不需要再附加安装其它插件了。 1.对OD的窗口签名进行了更改,从而避免被针对性检测 2.修改了OD窗口切换快捷键为TAB键、 3.修改附加窗口支持滚轮滚动 4.修改OD启动时为优先加载插件 5.采用论坛夜冷风发布的字符串插件,有效的解决了字符串退出BUG 6.增加了advancedolly插件有效解决了OD批量修改及无进行带壳数据窗口跟随的BUG 7.改动了OD子窗口的类名 8.更新了部分插件及添加部分插件 9.sod默认设置为全选模式,以后会自行更新 10.本次更新后的MD5:fe6ce83710c8834d37d979d818a1c6ba 吾爱破解专用版.rar 11.解决注入代码时提示框 360安全卫士可能会误报StrongOD释放的驱动为病毒,造成ollydbg调试过程中某些功能不能使用。在此提醒大家一下,以免大家误会。如果想调试过程中没有什么障碍,希望大家在调试过程中暂时屏蔽掉360安全卫士。
脱壳脚本OD使用,右键,脚本,打开某个脚本即可脱壳!!!.rar
02-25
脚本脱壳 基本都可以包含 od右键,脚本,定位到某一行,然后就找到了entry point 然后就可以为所欲为le 。
upx手动脱壳
qq_36963214的博客
10-26 6979
upx upx是一个开源的工具,可以到github下载upx upx简单的用 upx src.exe命令将src.exe加壳 upx src.exe -o dst.exe命令将src.exe加壳并另存为dst.exe upx手动脱壳
脱壳八大
z1103758的博客
03-29 6161
ESP定律 1.OD载入 2.F8寄存器窗口找到红色ESP 3.右键数据窗口跟随 4.选中数据硬件访问 5.F8到OEP,从模块中删除分析 6.F8右键 用OllyDump脱壳 单步跟踪 1.OD载入 2.F8到有跳空运行记录下来,重新运行F8到跳空的地方F7 3.F8到有向上执行的,选择向上执行的代码的下一行F4 4.F8到OEP 5.用OllyDump脱壳 两次断点(内存镜像) 1.OD...
如何用od去手动脱壳
cpongo5
06-20 619
1. 常用的pushad popad2. 有call的话,注意跳call脱壳成功的标志就是出现 55 push ebpod要带有插件,olldump 1. 脱壳是在552. 如何脱壳,让程序一直走,一直想前,不要后退3. 然后使用插件保存olldump4. 脱壳后保存的文件,看看可以修复不,如果可以修复,脱壳到此完毕。 如果不可以,按照如下步骤5. 记录下od脱壳保存时候的oep6. 先...
Od调查表底特律例题演示
最新发布
11-12
底特律是一种基于历史数据来预测未来交通流量的方,通常用于OD调查表分析中。在MATLAB中,实现底特律则的一个基本步骤可能会包括以下几步: 1. **数据准备**[^1]: - 收集历史交通数据,如各个出行目的地(O-D)的数据记录。 - 确定时间序列,以便观察和分析增长趋势。 2. **计算平均增长率**: - 计算各O-D对的历史流量增长率,这通常是通过相邻时间段的流量比较得出的。 ```matlab % 假设你的数据存储在一个名为TrafficData的矩阵,其中每一行为一时间段的数据 growthRates = diff(log(TrafficData)); ``` 3. **应用底特律则**: - 底特律则假设未来的增长速度会保持与过去相同的增长率,因此可以用当前的平均增长率预测未来的流量。 ```matlab futureFlow = TrafficData(end) * (1 + mean(growthRates)); ``` 4. **结果展示**: - 可能需要调整数值显示精度,以匹配教材上的描述。 ```matlab fprintf('预测的OD流量: %f\n', round(futureFlow, 2)); % 四舍五入到小数点后两位 ``` 请注意,实际操作时可能会涉及到更复杂的统计分析和参数选择,尤其是当存在波动性较大或者特殊情况时。如果你需要具体的代码示例,可以根据你的数据集进行调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值