使用二次断点法_手工脱壳

最新推荐文章于 2023-11-06 11:15:41 发布
最新推荐文章于 2023-11-06 11:15:41 发布
阅读量274 收藏
点赞数
原文链接:http://www.cnblogs.com/LyShark/p/11140405.html
版权

通常在软件的破解过程中,会遇到代码经过混淆器混淆的程序,此类混淆器可以称之为壳,壳又可分为压缩壳(常见的有UPX、北斗、ASDPack、Npack、PECompact等)和保护壳(如强壳Safengine、VMprotect、winlicense、Themida等),压缩壳作用是把程序进行体积缩小化处理,保护壳主要作用是混淆或加密代码防止他人进行逆向程序、破解程序。我们可以通过一些侦壳程序进行识别,但有些壳会采用伪装技术来混淆侦壳程序。

 

下面还是使用原来的课件,本次我们使用二次断点法进行脱壳,二次断点法也可以叫内存镜像法,先来下载以下这个课件把。

DIE查壳工具:https://files.cnblogs.com/files/LyShark/DiE_0.64.zip
课件内容:https://files.cnblogs.com/files/LyShark/ASPack.zip

 

1.直接开搞,OD载入这个加壳后的程序,并打开选项-> 调试选项 -> 异常 -> 忽略所有异常。

 

2.接着按下ALT+ M 切换到以下模块,选择.rsrc资源列表。

 

3.在SFX,输入表的位置,下一个F2断点。然后按下Shift+F9,然后按下ALT+M,再次来到了这个位置。

 

4.选择401000,再次下一个F2断点,再次按下Shift+F9

 

 

5.到达程序OEP位置

 

6.直接脱壳,保存代码即可。

 

转载于:https://www.cnblogs.com/LyShark/p/11140405.html

weixin_30394333
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ESP二次断点脱壳总结
天道酬勤
03-01 2571
ESP二次断点脱壳总结 一直想学一些逆向破解之类的知识,但是起步比较难,听看雪的某个高手说你可以从免杀方面的知识入手,掌握点基础。 首先感谢姬良写的《杀不死的秘密》这本书,真心不错。 1、ESP 原理:维持堆栈平衡 壳程序运行后,首先运行壳部分,然后将原程序还原到内存中并将控制权返还。而大部分压缩壳在运行壳程序时都会将原程序做一个堆栈保护,壳程序运行完成后将原程序还原到内存时会将
在多继承后,使用delete导致断点问题
01-20
标题中提到的问题“在多继承后,使用`delete`导致断点问题”可能是指在使用多继承的类的指针进行`delete`操作时遇到了异常或错误,通常与虚析构函数(virtual destructor)有关。 首先,让我们回顾一下问题的代码...
脱壳_两次断点找oep
02-03 499
两次断点 调试之前od要设置 选项 调试设置(alt+o) 异常 把这些东西全都打上√ 全都忽略 忽略所有异常 点 alt+m 或点M 找到我们的exe 要找到与程序名字相同的段 程序领空 属于程序本身的段 在程序的代码地址 下断 在.rsrc 数据输入表 下F2断点 然后 再按shift+f9  (Shift+F9 忽略异常运行) 第二次断点 还选M (快捷键alt
两次内存断点寻找OEP脱UPX壳
zhangmiaoping23的专栏
07-18 1704
逆向过程中通过会遇到脱壳的过程,而脱壳的方式有有多重,如果手工脱壳,需要找到OEP。 所谓“两次内存断点寻找OEP”,按照《加密与解密*第三版》上的解释来说,就是这样的。 一般的外壳会依次对.text、.rdata、.data、.rsrc区块进行解压(解密)处理,所以,可以先在.rdata、.data等区块下内存访问断点,中断后,此时代码已解压,接着再对代码段(.text)下内存访问断点,即
脱壳实践之寻找OEP——两次内存断点
weixin_30294021的博客
10-26 257
0x00 前言 对于加壳程序第一件事就是要找到OEP(oringinal Entry point),由于加壳的缘故,当PE文件载入OD或者其他调试软件时进入的的往往是壳程序的入口地址。所以要进行逆向分析第一步就必须找到PE程序的原始入口点。 0x01 壳的加载过程 壳和病毒在某些方面比较类似,都需要比原程序更早获得控制权。壳修改了原程序的的执行文件的组织结构,从而比原程序更早...
Re-脱壳技术 脱壳学习(2): 脱壳
逆向随笔
12-26 812
1. ESP定律 使用条件:OD载入之后F8单步一下,寄存器ESP中存放的值被改变(开始第一条语句为pushad) 1. 用OD载入 2. 先F8单步运行一步 发现ESP寄存器被改变,可以使用ESP定律 3.设置硬件断点 右键数据窗口跟随,|| 或者直接点HW break[ESP],此插件会自动帮忙下好硬件断点 数据窗口设置 从最开始的数据开始选,(别选太少就行)然后右键→断点→硬...
破解入门(六)-----实战“内存镜像脱壳
系统运维
06-13 493
内存镜像的步骤 (1)用OD打开软件 (2)点击选项——调试选项——异常,把里面的忽略全部√上。CTRL+F2重载下程序 (3)按ALT+M,打开内存镜象,找到程序的第一个.rsrc.按F2下断点,然后按SHIFT+F9运行到断点,接着再按ALT+M,打开内存镜象,找到程序的第一个.rsrc.上面的代码段.text(或者CODE)(也就是00401000处),按F2下断点。然后按SHI...
使用Dev+C++进行断点调试.zip_dev c++ _断点调试_调试断点
09-24
本资源“使用Dev+C++进行断点调试.zip”提供了关于如何在Dev C++集成开发环境中设置和使用断点调试的教程。下面将详细介绍断点调试的基本概念以及在Dev C++中的实际操作步骤。 断点调试是一种程序调试技术,允许...
duandianxuchuan.rar_VC断点续传_visual c_断点上传_断点续传
09-22
2. **断点续传**:断点续传是指在文件传输过程中,如果因为网络问题或者其他原因导致传输中断,系统能够记录当前的传输状态,然后在下一次传输时从上次中断的地方继续,而不是重新开始。这一技术大大提高了文件传输...
多线程断点续传(基于HTTP协议).zip_http 断点上传_http 断点续传_多线程断点续传_断点上传_断点续传
09-21
在IT领域,断点续传是一项非常实用的技术,特别是在大文件传输过程中,它能有效解决网络不稳定导致的传输中断问题。本项目“多线程断点续传(基于HTTP协议)”就是这样一个解决方案,它利用HTTP协议实现了断点续传...
Safengine Protector 最新脱壳脚本
01-11
Safengine Protector 最新脱壳脚本
safengine keygen
01-17
机器码算号测试用,来源网络,试用完毕请24小时内删除。
wenjianchuanshu.rar_c++ 断点续传_局域网 传文件_局域网文件传输_断点传输_断点续传
09-20
在IT领域,尤其是在网络编程和文件传输方面,"wenjianchuanshu.rar_c++ 断点续传_局域网 传文件_局域网文件传输_断点传输_断点续传"这个主题涵盖了几个关键的技术点。下面将详细阐述这些知识点。 首先,我们来看...
逆向破解程序脱壳篇-压缩壳
iqiqiya的博客
04-11 6120
一、普及What?壳所谓“壳”就是专门压缩的工具。   这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩,壳的压缩指的是针对exe、com、和dll等程序文件进行压缩,在程序中加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非修改和反编译,这段如同保护层的代码,与自然界动植物的壳在功能上有很多相似的地方,所以我们就形象地称之为程序的壳。WHY?① 对程序专门进行...
脱壳笔记-寻找OEP方总结
走在成长的路上
01-03 7410
详解手动跟踪、ESP定律方式、内存二次断点的原理与使用
OD脱壳八大
老北京砸酱锤的博客
06-22 3853
一、esp定律 进入程序,第行为pushad 单步步过(F8)一下,查看寄存器,当8个寄存器只有esp为红色时,右击红色地址,选择数据窗口中跟随。在左下角的窗口中可以看到,自动跟随到红色地址。 选中若干数据,右击选择断点-硬件访问-(byte,word,dword 任意选择)注:只是访问的字节数不同。 运行(F9)到达断点处,单步步过(F8)几下, 进入到不是不认识的代码地方 ,右键点击分析-从模块中删除分析。 在当前窗口右键选择dollydump脱壳调试进程,分别脱壳两次,不同之处是重建输入表
文件加密:软件保护技术:加壳与脱壳
最新发布
kunwen123的博客
11-06 801
一般情况下,由于已有栈的内容是不应更改的,简单的壳会选择将这样的信息压入栈(在栈上开辟新的空间),x86的汇编指令 pushad 可以轻松地将所有寄存器一次性压入栈,UPX使用了这样的方式,被形象地称为“保护现场”。在程序的开始,可以看到和之前介绍的一样,壳加载的第一步就是对入口现场的保存,然后分别把UPX1的起始地址设置到esi寄存器,将UPX0的起始地址设置到edi寄存器。UPX用了一次跨段的转移指令,(远JMP,指令以E9开头),在跳至OEP的指令处可以看到虚拟地址的值有一个明显突变,
[re入门]OD的各种断点
网络安全知识分享
03-07 4616
断点原理解析1、INT3断点2、硬件断点3、 内存断点4、消息断点5、条件断点 1、INT3断点 也就是F2断点,CC段点 这里我们用OD打开一个文件,下断点 然后我们用CE打开,然后手动添加地址,输入00C31330,将数值转换为16进制显示,类型为字节,如下图 原理: 1、替换指令,用int3指令 2、od检测到int3指令之后会引发一个异常并捕获它,这是程序就会中断; 3、删除int3指令,还原之前的代码 优点:可以下无数个int3断点 缺点:很容易被检测到(如果将断点下在函数的内部或者末尾,例如
脱壳简单总结
weixin_45880501的博客
07-06 3223
title: 脱壳 date: 2021-07-05 14:37:06 tags: RE 脱壳 1.概述: 1.壳: 一:加壳的目的:为了隐藏程序真正的OEP(入口点),防止被破解。 二:加壳软件是一种在编译好可执行文件之后,为了一些特定的需求,而做的一些事情,常见需求有: ​ 有一些版权信息需要保护起来,不想让别人随便改动 ​ 为了让程序小一点,从而方便使用(把可执行文件进行压缩使用) ​ 给木马等软件加壳以避免杀毒软件 三:壳的加载过程: ​ 一般壳的装载过程: ​ (1)获取壳所需要使用的.
AutoCAD.NET二次开发实战指南
9. **文档和帮助系统**:创建清晰的用户文档和帮助系统,可以帮助用户更好地理解和使用二次开发成果。 《深入浅出AutoCAD.NET二次开发》一书将带领读者逐步探索和掌握这些技术,通过实例和实践指导,让开发者能够...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值