一般常见的加密狗脱壳及修复

本文章转载自USB-Key逆向研究中心只限学习交流。

查壳(PEID、FI、PE-SCAN)--->找寻OEP(OD)--->脱壳/Dump(LordPE、PeDumper、OD内置的脱壳插件、PETools)--->修补(Import REConstructor)

【专用工具详细介绍】

1、查壳

    PEID--功能齐全的侦壳专用工具,内置脱壳插件(可是,实际效果不太好)

    原理:关键是userdb.txt(大伙儿看一看就彻底懂了)[根据壳的通道机器码开展分辨]

    操作方法:可以拖放、还可以把PEID加上到右键里边去

    FI--功能齐全的侦壳专用工具,DOS页面。

    操作方法:可以拖放、可以应用DOS命令行

2、找寻OEP

ollydbg的四个地区

左上方是cpu对话框,分别是详细地址,序列号,汇编代码,注解;注释加上便捷,并且还能及时表明函数公式的读取結果,传参.

右上方是寄存器对话框,但不仅体现寄存器的情况,也有许多东西;双击鼠标就可以更改Eflag的值,针对寄存器,命令执行后发生改变的寄存器会用鲜红色突显.

cpu对话框下边还有一个小窗口,表明当今实际操作更改的寄存器情况.

左下方是运行内存对话框.可以ascii或是unicode二种方法表明运行内存信息内容.

右下方的是当今局部变量状况,也有注解啊.

好多个常常采用的键盘快捷键

F2:在必须的地区下断点(INT3型断点)

F3:挑选开启程序

F4:运行到所挑选的那一行

F7:断点调试进到

F8:断点调试追踪

F9:执行程序(运行程序)

在其中要尤其讲一下3个F9的差别和功效:

依据Ollydbg.hlp的翻译中文

Shift F9 - 与F9同样,可是假如被调节程序产生出现异常而中断,程序调试会最先试着执行被调节程序特定的错误处理(请参照忽视Kernel32中的运行内存非法访问)。

Ctrl F9 - 执行直到回到,追踪程序直到碰到回到,在这段时间不进到子函数都不升级CPU数据信息。由于程序是一条一条指令执行的,因此速率很有可能会慢一些。按Esc键,可以终止追踪。

Alt F9 - 执行直到回到到客户字符串常量,追踪程序直到命令所归属于的控制模块没有系统目录中,在这段时间不进到子函数都不升级CPU数据信息。由于程序是一条一条执行的,因此速率很有可能会慢一些。按Esc键,可以终止追踪。

看这种汉语详细介绍大伙儿很有可能还没有很搞清楚,用大家简单的句子而言便是:

Ctrl F9     运行至retn (一般到了retn以后接好F7回到)

Alt F9      运行至顶层读取的下句

Shift F9    忽视出现异常运行

文档:

     1.主要包括该菜单栏的下边有之前开启的记录,该纪录储存有之前未消除的断点.

     2.额外.应对这些Anti-Debug程序.先运行程序,再运行od,文档-->额外.

查询:

     1.执行控制模块(Alt E),查询程序应用的动态链接库

     2.查询断点.Alt B

调节:

     1.运行(F9)载入程序后,运行!

     2.中止(F12)

     3.断点调试进到(F7)遇上CALL进到!进入该子程序.

     4.断点调试绕过(F8)遇上CALL不进去!

     5.执行到回到(ALT F9)便是执行到该子程的回到句子

查询-->文档

二进制文件编写作用.查询-->文档,开启的文档是二进制表明.选定要更改的计算机指令,空格符,改动,右键-->储存.

别的的一些主要的大伙儿依然要看一下OD的汉语协助的

3、Dump

OD内置的脱壳插件--抵达OEP以后鼠标右键。。。

LordPE、PeDumper--挑选所调节的过程--鼠标右键--详细脱壳

4、修补

Import REConstructor 1.6

脱壳后,程序毫无疑问不可以一切正常运行,自然必须这一软件修补下啦~~

5 自校检

许多软件脱壳后,会遇到这个问题,实际上也简易,寻找弹不正确框上边CALL,断点,一般下边有一个重要跳,自身依据状况跳或是不跳,或者开2个OD,一个是以前的,一个事脱壳后的,较为下,就了解怎么修改了~

  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
程序名称:LordPE Deluxe 增强版 版 本:1.4 汉 化 人:cao_cong 联系方式:[email protected] 使用说明: 这个工具大家应该也比较熟悉吧?这是另一款PE编辑工具,号称是“最好的PE文件修改工具”。这个增强版本是我在看雪学院上看到的,原来是看雪兄的大作。正好我以前汉化过这个软件(自己用的,没发布过),顺便套用一下以前的资源,把它给汉化了(里面所附带的工具基本上都汉化了)。可能有许多兄弟都比较喜欢用这个软件,这次发出来希望能给大家带来一点方便。这个增强版的主要更新(根据看雪兄的readme文件): (1) 为LordPE查看输入表部分加上搜索功能 (2) 为LordPE查看输入表部分加右键菜单(仅复制ThunkRVA/FirstThunk列). (3) 当点击LordPE查看输入表部分中"View always FirstThunk",保持光条在原来位置.(LordPE默认会将光条置到0行) (4) 修改FLC(File Location Calulator)窗口中各个文本框(VA,RVA,Offset)为只读属性,此时可以用鼠标复制里面的文本.(LordPE原来是将文本框禁止变灰,此时不可复制) 不过上面的第二条查看输入表部分的右键菜单我没看到。难道是我的系统(XP_SP2)有问题? 其它内容请看附带在内的readme.txt文件。LordPE的原版和增强版的原版我都放在英文原版文件夹中,大家可以进行比较。 声明: 1、此汉化软件是免费软件,请在转载时保留其内容的完整性! 2、此软件仅用于个人学习使用,禁止用于商业用途,否则后果自负! (1) 为LordPE查看输入表部分加上搜索功能 (2) 为LordPE查看输入表部分加右键菜单(仅复制ThunkRVA/FirstThunk列). (3) 当点击LordPE查看输入表部分中"View always FirstThunk",保持光条在原来位置.(LordPE默认会将光条置到0行) (4) 修改FLC(File Location Calulator)窗口中各个文本框(VA,RVA,Offset)为只读属性,此时可以用鼠标复制里面的文本.(LordPE原来是将文本框禁止变灰,此时不可复制) 文件列表: LordPE.EXE .............原版 LordPE_fix.EXE .............增强版 LordPlug.dll .............功能插件 LordPlug.dll_src .............功能插件源码

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值