脱壳入门(七)之未知壳

最新推荐文章于 2022-07-30 15:52:47 发布
最新推荐文章于 2022-07-30 15:52:47 发布
阅读量647 收藏 1
点赞数
分类专栏: 脱壳
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w_g3366/article/details/98884133
版权

脱壳入门(七)之未知壳

一、找OEP

  1. 查壳:看起来好像没壳,编译器版本7.0(VC2003)、.CODE段应该是Delphi程序的区段特征
    在这里插入图片描述
    2.找OEP,有壳没壳用OD看看,上面一段还挺像入口点的,在往下看就不像了,也不太肯定
    在这里插入图片描述
    每个区段都看了下,发现.CODE段全是0,这说明啥,这段代码被加密压缩了,放到其他地方了,我们直接F9运行,看看变不变
    在这里插入图片描述
    看看代码被解密出来了,这能证明有壳了吧
    在这里插入图片描述
    翻了好多帖子才知道查壳工具有好多,DIE工具可以识别各种程序语言,如图:该程序是BC++的程序
    在这里插入图片描述
    结合BC++的程序特征,我们很容易就可以定位到OEP位置。
    在这里插入图片描述

二、Dump文件、修复文件

总结:一开始不知道这是什么语言程序,也不知道是什么壳,太难受了无从下手,多百度,吾爱上很多帖子,前人经验很多,一个小工具瞬间解决问题。
在这里插入图片描述

初识逆向
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PEiD(侦测未知加强版)
07-27
PEiD查 PEiD加强版 查软件 未知侦测
脱壳入门基础
07-15
脱壳入门基础 在一些计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序...目前有很多加工具,既然有矛,自然就有盾,脱壳即去掉软件所加的,软件脱壳有手动脱和自动脱壳之分,
脱壳学习.2 脱壳方法汇总
xici_的博客
02-16 334
脱壳的步骤有: 分析类型 → 找到OEP → DUMP脱壳 → 修复EIP 1.常见的特点总结 2.找到OEP方面一些理解后的技巧: 方法一:单步跟踪法 1.用OD载入,点“不分析代码” 2.单步向下跟踪F8,实现向下的跳。也就是说向上的跳不让其实现!(通过F4) 3.遇到程序往回跳的(包括循环),我们在下一句代码处按F4(或者右健单击代码,选择断点——>运行到所选) 4.绿色线条表示跳...
脱壳4 (未知
qq_31507523的博客
11-03 407
脱壳4 (未知脱壳­IAT被加密如何分析? 1. 自上而下分析,单步跟踪 从程序开始单步分析,找到填充IAT的代码 2. 敏感API下断,栈回溯分析 ① GetProcAddress ② LoadLibraryA/W, GetModuleHandleA/W ③ VirtualAlloc/VitualAllocEx/HeapAlloc ④ VitrualProtect/ VitrualProtectEx 3. 敏感数据下断,栈回溯分析 在IAT表加密的地址处下断点,运行之后
脱壳练习之未知(04)
weixin_45574485的博客
08-29 536
1.第一步,查,无法识别出编译语言和linker是什么 2.将文件用od打开,可以看到pushad和pushfd,f8两步之后对esp下硬件断点。 3.f9执行到刚下的断点,f8继续,会看到popad,继续f8,到下一个jmp,f8进入jmp,发现下一条指令是jmp eax,f8继续跟,这时,出现的界面是否觉得很熟悉,没错,这里就是oep,记住这个oep的地址:47148B。 4.看到...
脱壳入门(六)之未知加密
w_g3366的博客
08-08 999
脱壳入门(六)之未知加密 一、找OEP 查未知,编译器版本6.0(VC6.0或易语言程序) 找OEP:未知就只能先用OD看看了,的入口代码很熟悉了,用ESP定律就可以了,断下后F7单步到OEP 二、解密IAT 在IAT表下硬件写入断点,找到填充IAT的代码位置,注意,这个加了花指令混淆功能,程序断下后Ctrl+↑定位上一条指令,然后分析 F7单步运行,跟一遍IAT加密的流...
遭遇未知.Net加密
weixin_34200628的博客
01-08 234
今天晚上朋友找我,说他用的OA系统(ASP.Net的)今天更新了,注册算法好像变了,好像加密也换了,找我帮他看看。是DLL的程序而且是net2.0的,感觉应该很好弄。资源管理器中用大图标视图模式看了一下所有的dll文件的版本信息没有发现可疑文件。先拿ildasm看看结构,分析一下有什么保护方式。结果出来一个 红叉的对话框,说什么是受保护的模块。用reflector不能看是预料之中的,这个工具太脆...
脱壳脱壳的软件
12-23
脱壳脱壳的软件查 脱壳脱壳的软件查 脱壳脱壳的软件
zeus.rar_.svmp_ZEUS脱壳_Zeus脱_vmp官网_vmp插件
07-14
大牛的脱VMP的插件,一般的VMP都能脱掉
经典:手动脱未知的方法
01-02
非常经典的动画教程,手动脱未知的方法,看后受益匪浅!
OD破解查工具
03-22
破解之前,用来查
最好的查工具DIE (大家可以试试比PEID好用),
04-10
Detect It Easy简称Die,是一款专业查工具,比PEID强大得多,能查一次查到底。并支持超大文件读取,其他查工具无法打开的程序,这个都能读取。虽然没有PEID出名,但是相当的强大,完全可以替代PEID。 软件特色 绿色免费,不用安装 支持文件拖放 支持添加右键菜单 支持多国语言(包含简体中文) 支持 Windows,Mac,Linux 系统 支持自定义插件 支持脚本编写与定义 支持多种皮肤选择 支持 16 进制编辑
解密之脱壳入门.pdf
01-28
### 解密之脱壳入门知识点解析 #### 一、PE文件格式详解 PE(Portable Executable File Format)即可移植的执行体文件格式,是Windows操作系统下主要的可执行文件格式之一。对于想要深入理解脱壳技术的学习者来说...
脱壳入门(一)之分析Aspack
w_g3366的博客
07-02 5557
文章目录脱壳0.前置知识1 .的基础知识1.1的加载过程示例:分析一个简单的aspack 脱壳 0.前置知识 熟悉PE文件结构 PE文件的Magic Code是什么 MZ头,PE头 PE文件头的信息有哪些? 运行平台、时间戳、PE文件属性、区段数量、扩展头的大小 PE文件的扩展头的信息有哪些? EP的RVA、ImageBase(400000)、代码段起始地址、数据段起始地址...
有关脱壳以及脱壳实例讲解
zacklin的专栏
07-11 4737
当前流行的查工具主要以peid和fileinfo这两个软件为代表。 PEiD的原理是利用查特征串搜索来完成识别工作的。各种开发语言都有固定的启动代码部分,利用这点就可识别出何种语言编译的。同样,不同的也有其特征码,利用这点就可以识别是被何种所加密。PEiD提供了一个扩展接口文件userdb.txt ,用户可以自定义一些特征码,这样就可识别出新的文件类型。
脱壳方法总结
宗泽的博客
06-09 9392
一、单步跟踪法   脱壳的方法有很多,先来讲脱壳方法中最基础的单步跟踪法。单步跟踪法就是利用OD的单条指令执行功能,从的入口一直执行到OEP,最终通过这个OEP将原程序dump出来。然当,在单步跟踪的时候需要跳过一些不能执行到的指令。   使用单步跟踪法追踪OEP的常见步骤:   1、用OD载入待脱壳文件,如果出现压缩提示,选择“不分析代码”;   2、向下单步跟踪,实现向下的跳转;   3、遇...
LevelDB 源码分析
zhipingxi的博客
10-09 2224
本文基于leveldb 1.9.0代码。 整体架构 如上图,leveldb的数据存储在内存以及磁盘上,其中: memtable:存储在内存中的数据,使用skiplist实现。 immutable memtable:与memtable一样,只不过这个memtable不能再进行修改,会将其中的数据落盘到level 0的sstable中。 多层sstable:leveldb使用多个层次来存储sstable文件,这些文件分布在磁盘上,这些文件都是根据键值有序排列的,其中0级的sstable的键值可能会
逆向基础-加
AppWhite_Star的博客
07-30 734
逆向基础-加
脱壳技术入门教程:从基础知识到高级概念
"这篇文章是关于脱壳技术的新手入门教程,介绍了‘’的概念以及早期的脱壳软件历史。" 脱壳技术是针对计算机程序的一种逆向工程手段,主要是为了去除程序上的保护层,即所谓的“”。在计算机领域,“”通常指...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值