手动脱壳方法及原理

最新推荐文章于 2024-08-22 21:58:55 发布

经典的误导

最新推荐文章于 2024-08-22 21:58:55 发布

阅读量5.2k

点赞数

分类专栏：加密与解密文章标签：加密解密

本文链接：https://blog.csdn.net/super_mimi/article/details/39807777

版权

加密与解密专栏收录该内容

12 篇文章 0 订阅

订阅专栏

介绍三种方法：

1.单步跟踪法

2.ESP定律法

3.2次内存镜像法

1.单步跟踪法

宗旨：向上的跳转不让实现，向下的跳转实现，当发现大跨度跳转时，即会到OEP

2.ESP定律法

遵循堆栈平衡原理，在壳对程序进行操作加密或者压缩时，会把程序的OEP压入栈中，当壳执行完成后，进行解密或者解压缩，会把真正的OEP从栈中弹出

操作方法：

载入OllyDbg，单步程序，发现ESP寄存器变红

右键点击ESP，数据窗口跟随

对数据窗口该处下硬件访问断点

运行程序，单步跟踪到OEP

3.2次内存镜像法

在壳进行解密或解压缩时，最后释放的是资源区段：.rsrc，这个区段被释放完全后，说明整个程序已经被全部解密

操作方法：

载入OllyDbg，ALT+M打开内存窗口

找到第一个资源区段，下断点，Shift+F9或运行

再到内存窗口找到地址为401000的代码区段下断，运行

单步结合单步跟踪法找到OEP

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

经典的误导

关注关注

0
点赞
踩
4

收藏

觉得还不错? 一键收藏
1
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

upx手动脱壳

qq_36963214的博客

10-26

6976

upx upx是一个开源的工具，可以到github下载upx upx简单的用法 upx src.exe命令将src.exe加壳 upx src.exe -o dst.exe命令将src.exe加壳并另存为dst.exe upx手动脱壳

【安卓逆向】徒手脱壳的几种方法！

XxANdBb20的博客

01-06

1659

首先我们先来说说壳的原理吧，简单说下就好，带壳程序运行以后，都会做哪些事情呢？（想要了解更多的朋友们就去读看雪大哥的《加密与解密（第三版）》吧） 1、保存现场(pushad/popad,pushfd/popfd)>>2、获取壳自己需要的API地址>>3、解密原程序各个区块>>4、IAT的初始化>>5、重定位>>6、Hook-API&gt...

1 条评论您还未登录，请先登录后发表或查看评论

手动脱壳的七种基本方法--学习器.

03-08

手动脱壳的七种基本方法--学习器. 献给刚学习脱壳的朋友共享。

手动脱壳（一）

Re_Fw

03-16

715

手动脱壳手动脱壳一般分为三种，一是查找真正的入口点；二是抓取内存镜像文件；三是重建PE文件理论上，当程序执行时，外壳代码首先获得控制权，模拟Windows加载器，将原来的程序恢复到内存中。这时，内存中的数据就是加壳前的镜像文件了。适时将其抓取并修改，即可还原到加壳前的状态。 OEP理论：外壳程序负责在内存中把原程序解压，还原，并把控制权还给解压后的真正程序，再跳到原来的程序入口点。一般的壳在这里会有一个明显的“分界线”，这个解压后真正的程序入口...

IOS逆向（一）脱壳

最新发布

shuwangyong的专栏

08-22

1053

所有的IOS应用上传到APP STORE上线前都会被自动加"壳"，可以理解为蜗牛的外壳，主要作用就是用于保护"脆弱"的源代码，这个"壳"的真实身份是(Digital Rights Management,数字版权保护)，想详细了解的可以自行搜索查询一下。

关于手动脱壳的分析及方法总结

Yyx260019的博客

07-24

855

单步跟踪法的原理就是通过Ollydbg的单步（F8）、单步进入（F7）和运行到（F4）功能，完整走过程序的自脱壳过程，跳过一些循环恢复代码的片段，并用单步进入确保程序不会略过OEP。这样可以在软件自动脱壳模块运行完毕后，到达OEP，并dump程序。

手动脱RLPack壳实战

Fly20141201. 的专栏

07-15

2910

作者:Fly2015 吾爱破解论坛培训第一课选修作业练习的第7题。这个壳没听说过，但是脱起来比较简单，根据ESP定律即可直达光明，Dump出原来的程序。老规矩，首先对需要脱壳的程序进行查壳处理。使用DIE查壳的结果，程序加的是RLPack壳并且原程序是用微软编译器编译的。 OD载入加壳程序进行调试分析，入口点代码反汇编快照。看到PUSHAD指令想都不要想，

什么是加壳和脱壳技术？加壳和脱壳技术是什么意思？

人生代码，代码人生。。。

09-30

7823

什么是加壳和脱壳技术？加壳和脱壳技术是什么意思？加壳，是一种通过一系列数学运算，将可执行程序文件或动态链接库文件的编码进行改变（目前还有一些加壳软件可以压缩、加密驱动程序），以达到缩小文件体积或加密程序编码的目的。加壳一般是指保护程序资源的方法。脱壳一般是指除掉程序的保护，用来修改程序资源。马甲”能穿也能脱。相应的，有加壳也一定会有解壳（也叫脱壳）。脱壳主要有两种方法：硬脱壳和动态

手动脱壳教程第一课.手脱UPX的四种方法

10-13

手脱UPX的四种方法"，是为初学者设计的，旨在帮助他们了解如何对使用UPX壳的程序进行手动脱壳操作。首先，我们要理解什么是壳。在计算机安全术语中，壳是一种用于保护程序代码的技术，特别是恶意软件，以避免被反...

手动脱壳第二课 UPX 1.08.zip

01-03

本教程“手动脱壳第二课 UPX 1.08”专注于UPX（Ultimate Packer for eXecutables）这一著名的开源压缩和加壳工具的脱壳过程。UPX是一种广泛使用的工具，它能将程序进行压缩，减小文件大小，同时也能为程序添加额外的...

ASProtect脱壳方法

11-29

本文将详细介绍手动脱ASProtect壳的方法，并对脱壳过程中的关键步骤进行讲解。一、一般情况下的脱壳方法在ASProtect 1.2/1.2c、ASProtect 1.23 RC1、ASProtect 2.3 SKE build 06.26 Beta等版本中，脱壳方法主要...

手动脱壳教程

热门推荐

weixin_44032972的博客

05-21

1万+

一、什么是壳？壳是指在一个程序的外面再包裹上另一段代码，保护里面的代码不被非法修改或反编译的的程序。它们一般先于程序运行，拿到控制权，然后完成它们保护软件的任务。二、壳的加载过程 1、保存程序入口参数加壳程序初始化时保存各个寄存器的值（用堆栈），外壳执行完毕后，再恢复各个寄存器的值，最后再跳到源程序执行。 2、获

常用手动脱壳方法

xcntime的专栏

11-06

1281

常用手动脱壳方法脱壳方法一：单步跟踪法 1.用OD载入，点“不分析代码！” 2.单步向下跟踪F8，实现向下的跳。也就是说向上的跳不让其实现！（通过F4） 3.遇到程序往回跳的（包括循环），我们在下一句代码处按F4（或者右健单击代码，选择断点——>运行到所选） 4.绿色线条表示跳转没实现，不用理会，红色线条表示跳转已经实现！ 5.如果刚载入程序，在附近就有一个CAL

手动脱壳（二）

Re_Fw

03-17

206

手动脱壳(二) ESP与跨指令寻OEP法手动脱壳一般分为三种，一是查找真正的入口点；二是抓取内存镜像文件；三是重建PE文件理论上，当程序执行时，外壳代码首先获得控制权，模拟Windows加载器，将原来的程序恢复到内存中。这时，内存中的数据就是加壳前的镜像文件了。适时将其抓取并修改，即可还原到加壳前的状态。 OEP理论：外壳程序负责在内存中把原程序解压，还原，并把控制权还给解压后的真正程序，再跳到原来的程序入口点。一般的壳在这里会有一个明显的“分界线”，这个解压后真正的程序入口点称为“”OEP”（Orig

壳的机制以及脱壳技术

weixin_41487541的博客

04-12

2219

0 壳的概念壳是用来保护计算机软件不被非法修改或编译的程序；其附加在原始程序上，通过Windows加载器载入内存后，先于原始程序执行以得到程序控制权，在执行过程中对原始程序进行解密、还原，还原后把控制权还给原始程序，执行原来的代码；由于壳能保护自身代码，许多木马和病毒都喜欢用壳来保护及隐藏自身；对于一些流行的壳，杀毒引擎能先对目标软件进行脱壳，再进行病毒检查。对大多数私人壳，杀毒软件不会专门开发解压引擎，而是直接把壳当成木马或病毒来处理；处于不同的目的，壳可以分为压缩壳（减小软件的体积）

手动脱壳之基本知识

weixin_34228617的博客

12-23

172

1、基本知识　　手动脱壳就是不借助自动脱壳工具，而是用动态调试工具SOFTICE或TRW2000来脱壳。这课谈谈一些入门方面的知识，如要了解更深的脱壳知识，请参考《脱壳高级篇》这课。工具 * 调试器：SoftICE 、TRW2000*内存抓取工具：Procdump等；*十六进制工具：Hiew、UltraEd...

如何进行手动脱壳

weixin_62693307的博客

11-20

365

脱壳的目的就是找到被隐藏起来的OEP（入口点）这里我一共总结了三种方法，都是些自己的理解希望对你们有用一个程序加了壳后，我们需要找到真正的OEP入口点，先运行，找到假的OEP入口点后，单步调试，我们不能让程序向上调试，只能让程序向下调试，遇到向上调试的将鼠标光标指到下一个，按F4，或者下个断点运行也可以跳过向上调试的点。当我们遇到有很大跨度的调试时，有可能就是真的OEP入口点。

手动脱UPX 壳实战

Fly20141201. 的专栏

07-09

5715

作者：Fly2015 Windows平台的加壳软件还是比较多的，因此有很多人对于PC软件的脱壳乐此不彼，本人菜鸟一枚，也学习一下PC的脱壳。要对软件进行脱壳，首先第一步就是查壳，然后才是脱壳。推荐比较好的查壳软件： PE Detective 、Exeinfo PE、DIE工具。需要脱壳的程序是吾爱破解论坛的windows逆向破解培训http://www.52pojie.cn/

iOS应用程序的脱壳实现原理浅析

iOS_开发

10-27

448

Linux编程点击右侧关注，免费入门到精通！作者丨欧阳大哥2013链接：https://www.jianshu.com/p/d82982892cae应用程序加载过程对于诸...

逆向分析入门：手动脱壳技巧解析

"手动脱壳教程" 在逆向工程领域，手动脱壳是一项基础且重要的技能，特别是对于初学者来说。脱壳是为了去除程序上的保护层，即所谓的壳，以便能够深入分析程序的原始二进制代码。壳的种类多样，有的侧重于压缩程序以...