比较常用的脱壳方法

最新推荐文章于 2024-01-25 16:59:01 发布
最新推荐文章于 2024-01-25 16:59:01 发布
阅读量332 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pwfdqiwfn/article/details/88619553
版权

OllyDBG常用快捷键
F2:设置断点,只要在光标定位的位置按F2键即可,再按一次F2键则会删除断点。

F8:单步步过。每按一次这个键执行一条反汇编窗口中的一条指令,遇到 CALL 等子程序不进入其代码。

F7:单步步入。功能同单步步过(F8)类似,区别是遇到 CALL 等子程序时会进入其中,进入后首先会停留在子程序的第一条指令上。

F4:运行到选定位置。作用就是直接运行到光标所在位置处暂停。

F9:运行。按下这个键如果没有设置相应断点的话,被调试的程序将直接开始运行。

CTR+F9:执行到返回。此命令在执行到一个 ret (返回指令)指令时暂停,常用于从系统领空返回到我们调试的程序领空。

ALT+F9:执行到用户代码。可用于从系统领空快速返回到我们调试的程序领空。

Shift+F9 忽略异常运行

比较常用的脱壳方法:

 

方法1:单步跟踪法
(1)用OD载入,点“不分析代码”

(2).单步跟踪原则是向下的跳转继续运行,向上的跳转不让它实现,直到找到程序OEP。向下跟踪用F8单步执行,遇到程序往上跳的(包括循环),我们在下一句代码处按F4(或者右健单击代码,选 择断点——>运行到所选),绿色线条表示跳转没实现,不用理会,红色线条表示跳转已经实现

(3)如果刚载入程序,在附近就有一个CALL的,我们就F7跟进去,不然程序很容易跑  飞,这样很快就能到程序的OEP

(4)在跟踪的时候,如果运行到某个CALL程序就运行的,就在这个CALL中F7进入

(5)一般有很大的跳转(大跨段),比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN  的一般很快就会到程序的OEP


注:在有些壳无法向下跟踪的时候,我们可以在附近找到没有实现的大跳转,右键-->“跟随”,然后F2下断,Shift+F9运行停在“跟随”的位置,再取消断点,继续F8单步跟踪。一般情况下可以轻松到达OEP
 

方法2:ESP定律法
    ESP定理脱壳(ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了!)

(1)开始就点F8,注意观察OD右上角的寄存器中ESP有没突现(变成红色)(这只是一 般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值)

(2)在命令行下:dd XXXXXXXX(指在当前代码中的ESP地址,或者是hr XXXXXXXX)按回车,或者右击ESP红色处-->数据窗口中跟随 ,

(3)选中数据窗口中要下断点的地址,断点--->硬件访问--->WORD或DWORD断点

(4)按一下F9运行程序,此时注意不论下一步做什么都及时删除刚才的断点,然后直接来到了跳转处,按下F8,到达程序OEP
 

方法3:二次内存镜像法
(1)用OD打开软件

(2)点击选项——调试选项——异常,把里面的忽略全部√上。CTRL+F2重载下程序

(3)按ALT+M,打开内存镜象,找到程序段的的第一个.rsrc.按F2下断点,然后按SHIFT+F9运行到断点(注意观察是否运行了,有时不运行需要再按一遍)。第二次接着再按ALT+M,打开内存镜象,找到程序的第一个.rsrc.上面的.CODE(也  就是00401000处),按F2下断点。有异常的话按SHIFT+F9(或者是在没异常情况下按F9),再单步F8,很快便 直接到达程序OEP


方法4:一步到达OEP
(1)开始按Ctrl+F,输入:popad(只适合少数壳,包括UPX,ASPACK壳),然后按下F2,  F9运行到此处

(2)来到大跳转处,点下F8,到达OEP

 

方法5: 最后一次异常法
(1)用OD打开软件

(2)点击选项——调试选项——异常,把里面的√全部去掉!CTRL+F2重载下程序

(3)按SHIFT+F9,直到程序运行,记下按SHIFT+F9的次数m

(4)CTRL+F2重载程序,按SHIFT+F9(这次按的次数为程序运行的次数m-1次)

(5)在OD的右下角我们看见有一个"SE 句柄",这时我们在编译区右击转到-->表达式(或按CTRL+G),输入SE 句柄左边的地址

(6)按F2下断点,然后按SHIFT+F9来到断点处

(7)去掉断点,按F8慢慢向下走

(8)到达程序的OEP


方法6: 模拟跟踪法
(1)先试运行,跟踪一下程序,看有没有SEH暗桩之类

(2)ALT+M打开内存镜像,找到(包含那一列中出现SFX,imports,relocations或者SFX,输  入表,重定位)

(3)若地址为00xxxxxx在命令行下输入tc eip<00xxxxxx,回车,提示正在跟踪


方法7: SFX法
(1)设置OD,忽略所有异常,也就是说异常选项卡里面都打上勾

(2)切换到SFX选项卡,选择“字节模式跟踪实际入口(速度非常慢)”,确定

(3)重载程序(如果跳出是否“压缩代码?”选择“否”,OD直接到达OEP)
--------------------- 
 

行走在黑暗中的狙击者
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
黑客————脱壳常用方法总结
10-15
脱壳常用方法总结;很好的脱壳方法!!!适合入门者!!!
逆向破解程序脱壳篇-压缩壳
iqiqiya的博客
04-11 6150
一、普及What?壳所谓“壳”就是专门压缩的工具。   这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩,壳的压缩指的是针对exe、com、和dll等程序文件进行压缩,在程序中加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非法修改和反编译,这段如同保护层的代码,与自然界动植物的壳在功能上有很多相似的地方,所以我们就形象地称之为程序的壳。WHY?① 对程序专门进行...
各种壳的脱法及技巧
weixin_43781139的博客
11-27 889
各种壳的脱法及技巧 常见脱壳知识: 1.PUSHAD (压栈) 代表程序的入口点 2.POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个,说明OEP可能就在附近 3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP), 只要我们找到程序真正的OEP,就可以立刻脱壳 1、模拟跟踪法 无暗桩情况下使用 1.F9试运行,跑起来就无SEH暗桩之类的,否则就有. 2.ALT+M打开内存镜像,找到包含“=sfx,imports reloco tions”字符 3.地.
OllyDBG 入门系列(一)-认识OllyDBG
Tisty的兵工厂--新Blog:http://www.UbuntuSky.cn
03-27 1378
导读:  <!--google_ad_client = "pub-7058131363132249";/* 468x15, 创建于 08-6-3 */google_ad_slot = "4187223796";google_ad_width = 468;google_ad_height = 15;//--> <script type="text/javascript"
ollydbg(od吾爱破解最新版)+多款脱壳脚本 目前破解最强工具!
04-07
ollydbg(od吾爱破解最新版)+多款脱壳脚本 ,目前破解最强工具!
脱壳方法总结
宗泽的博客
06-09 9391
一、单步跟踪法   脱壳方法有很多,先来讲脱壳方法中最基础的单步跟踪法。单步跟踪法就是利用OD的单条指令执行功能,从壳的入口一直执行到OEP,最终通过这个OEP将原程序dump出来。然当,在单步跟踪的时候需要跳过一些不能执行到的指令。   使用单步跟踪法追踪OEP的常见步骤:   1、用OD载入待脱壳文件,如果出现压缩提示,选择“不分析代码”;   2、向下单步跟踪,实现向下的跳转;   3、遇...
几种常用脱壳方法讲解
11-28
几种常用脱壳方法讲解 作者:★闯☆≈荡≈ ------赠送好友"随风£煦雨ぃ" QQ:512642907 文件大小:解压后51MB 源文件21MB 动画性质:教程讲解 类型格式:屏幕录像专家 使用工具:peid od 第一种:ESP定律脱壳法 ...
android 脱壳常用软件
07-08
包含apktool,AndroidKiller_v1.3.1,ApkScan-PKID查壳工具,APKsign,ArscEditor,dex2jar-2.0,drizzleDumper-master,jadx_jb51,jd-gui-windows-1.4.0,smali_baksmali
常用脱壳工具
10-27
常用破解软件,脱壳速度快,保证无毒,可安全使用。
常用脱壳脚本169个
05-19
脱壳脚本169个 几乎常见的全有了 要的速度下了
ollydbg脱壳教程
07-15
里面有10多个教程,这个要多谢那些录制的大哥,我来分享给大家认识
软件脱壳常见的几种方法
愿Bug与你同在
02-24 7149
OD脱壳手册
OllyDBG
风如激的博客
07-20 1575
http://blog.163.com/hlz_2599/blog/static/142378474201341210104368/ 一、OllyDBG 的安装与配置 OllyDBG 1.10 版的发布版本是个 ZIP 压缩包,只要解压到一个目录下,运行 OllyDBG.exe 就可以了。汉化版的发布版本是个 RAR 压缩包,同样只需解压到一个目录下运行 OllyDBG.exe 即可:
脱壳简单了解
最新发布
akdelt的博客
01-25 1377
为了防止程序被非法修改或反编译,开发人员通常会在二程序中加入一段如同保护层的代码,使得原程序代码失去了原本的面目,这段如同保护层的代码和自然界的壳在功能上十分相近,因此把这样的程序称之为“壳”。壳一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。
OD脱壳八大法
老北京砸酱锤的博客
06-22 3880
一、esp定律法 进入程序,第行为pushad 单步步过(F8)一下,查看寄存器,当8个寄存器只有esp为红色时,右击红色地址,选择数据窗口中跟随。在左下角的窗口中可以看到,自动跟随到红色地址。 选中若干数据,右击选择断点-硬件访问-(byte,word,dword 任意选择)注:只是访问的字节数不同。 运行(F9)到达断点处,单步步过(F8)几下, 进入到不是不认识的代码地方 ,右键点击分析-从模块中删除分析。 在当前窗口右键选择dollydump脱壳调试进程,分别脱壳两次,不同之处是重建输入表
OllyDBG 破解入门教程
weixin_41454036的博客
09-11 3543
原链接:https://www.cnblogs.com/ECJTUACM-873284962/p/7653285.html 一、OllyDBG 的安装与配置 OllyDBG 版的发布版本是个 ZIP 压缩包,只要解压到一个目录下,运行 OllyDBG.exe 就可以了。汉化版的发布版本是个 RAR 压缩包,同样只需解压到一个目录下运行 OllyDBG.exe 即可: OllyDBG 中各个窗口的功能如上图。简单解释一下各个窗口的功能,更详细的内容可以参考 TT 小组翻译的中文帮助: 反汇编窗口:显示被调试
简单脱壳教程笔记(9) --- 手脱TELock0.98b1壳
oBuYiSeng的博客
04-16 4419
本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9466056 TELock 操作 1.最后一次异常法 1、选项---》调试设置---》异常------取消所有异常。 在OD插件--StrongOD--Options-
记录一次 JS 解密去混淆的经历 -- 如何破解加密的 JS 代码(一)
Make
12-26 8082
写在前头 昨天发了一个《某JS最牛加密脱壳解密破解去混淆工具。》 有朋友说上代码不如讲一下思路,于是今天准备捋一下这个思路,顺便当整理复习了。 需要直接解密代码的请看上一篇文章,这里只有思路与过程。 阅读此文默认你有一定的 JavaScript 基础,对于一些特性等不做解释,如有阅读困难请及时查看手册。 另本人也是业余选手,对一些 JS 特性研究不深,仅限会用,如有错误还请多多指教. 本...
脱壳的基本步骤
行走在黑暗中的狙击者
09-01 2719
脱壳的基本步骤 1.查壳(ExeinfoPe(推荐)、PEID)---> 2.寻找OEP(OD)--->(寻找过程中如出现代码异常需要先右击分析-->从模块中删除分析) 3.脱壳--->用OD自带的Ollydump直接脱壳,但因此功能比较老bug较多,脱完可能会出现软件无法打开、内存无法读取,无法定位dll等错误,所以一律推荐在XP下运行OD查找到OEP后,使用Lo...
破解艺术:反逆向技术与脱壳策略
2. 反逆向技术:文章详述了壳常用的各种反逆向技术,如代码混淆、数据加密、动态加载和内存保护等,这些技术使得分析加壳的恶意代码变得更加困难。 3. 脱壳技巧的学习与对抗:随着恶意软件的壳技术升级,逆向分析...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值