脱壳基本方法(自加图片版)

最新推荐文章于 2023-06-18 13:11:16 发布
转载 最新推荐文章于 2023-06-18 13:11:16 发布 · 748 阅读 · 2

本文介绍了七种脱壳到达程序OEP的方法,包括单步跟踪法、ESP定律法、内存镜像法、一步到达OEP、最后一次异常法、模拟跟踪法和“SFX”法,详细阐述了每种方法的具体步骤和操作要点。

目录

 

方法一:单步跟踪法

方法二:ESP定律法

方法三:内存镜像法

方法四:一步到达OEP

方法五:最后一次异常法

方法六:模拟跟踪法

方法七:“SFX”法

 

 

方法一:单步跟踪法

单步跟踪法基本步骤

1.用OD载入,点“不分析代码!”

2.单步向下跟踪F8,实现向下的跳。也就是说向上的跳不让其实现!(通过F4)

3.遇到程序往回跳的(包括循环),我们在下一句代码处按F4(或者右健单击代码,选择断点——>运行到所选)

4.绿色线条表示跳转没实现,不用理会,红色线条表示跳转已经实现!

5.如果刚载入程序,在附近就有一个CALL的,我们就F7跟进去,不然程序很容易跑飞,这样很快就能到程序的OEP

6.在跟踪的时候,如果运行到某个CALL程序就运行的,就在这个CALL中F7进入

7.一般有很大的跳转(大跨段),比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN的一般很快就会到程序的OEP。

先对软件进行查壳,发现是ASPack壳,使用OD打开软件

进入程序后使用F8单步,当经过call时,若打开程序,则进行备注

此时需要F7进入该call

继续进行单步跟踪

遇到运行程序的call,同理,备注后F7进入,单步跟踪时,遇到向下的跳转无需过问,向上的跳转,如下图

此时需要在其下一位使用F4,跳过该跳转

一直使用单步跟踪,直到看见关键语句

之后继续单步,此时会有一个大跳跃,如JMP XXXXX / JE XXXXX / RETURN等

单步跟踪,当跳转后,便是OEP

此时在首句单击右键

在插件中进行相关设置,DUMP即可

方法二:ESP定律法

ESP定理脱壳(ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了!)

1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突现(变成红色)。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值)

2.在命令行下:dd XXXXXXXX(指在当前代码中的ESP地址,或者是hr XXXXXXXX),按回车!

3.选中下断的地址,断点--->硬件访--->WORD断点。

4.按一下F9运行程序,直接来到了跳转处,按下F8,到达程序OEP。

开始即为关键句,查看关键句后面第一个语句的ESP是否是红色

如果是则DD进入ESP显示地址

设置一个硬件断点

之后F9运行,然后删除硬件断点

此时仔细查看语句,与之前单步追踪到的语句一样,在popad关键语句之后了

继续单步追踪,直到大跳跃,即为拖壳后程序。

方法三:内存镜像法

1:用OD打开软件!

2:点击选项——调试选项——异常,把里面的忽略全部√上!CTRL+F2重载下程序!

3:按ALT+M,打开内存镜象,找到程序的第一个.rsrc.按F2下断点,然后按SHIFT+F9运行到断点,接着再按ALT+M,打开内存镜象,找到程序的第一个.rsrc.上面的.CODE(也就是00401000处),按F2下断点!然后按SHIFT+F9(或者是在没异常情况下按F9),直接到达程序OEP

首先用OD打开程序后ALT+M进入内存,找到程序的.rsrc,F2下断点

选项-调试-异常中,打上所有对勾

之后F9运行,然后再使用ALT+M打开内存,找到代码

F2下断点,F9运行

直接到达OEP

方法四:一步到达OEP

1.开始按Ctrl+F,输入:popad(只适合少数壳,包括UPX,ASPACK壳),然后按下F2,F9运行到此处

2.来到大跳转处,点下F8,到达OEP!

由于PUSHAD和POPAD为成对出现,因此进入程序后可直接搜索POPAD,CTRL+L继续向下寻找,当找到一个POPAD下方代码与其他不同的(如大段跳跃),使用单步跟踪即可到达OEP

方法五:最后一次异常法

1:用OD打开软件

2:点击选项——调试选项——异常,把里面的√全部去掉!CTRL+F2重载下程序

3:一开始程序就是一个跳转,在这里我们按SHIFT+F9,直到程序运行,记下从开始按SHIFT+F9到程序运行的次数m!

4:CTRL+F2重载程序,按SHIFT+F9(这次按的次数为程序运行的次数m-1次)

5:在OD的右下角我们看见有一个"SE 句柄",这时我们按CTRL+G,输入SE 句柄前的地址!

6:按F2下断点!然后按SHIFT+F9来到断点处!

7:去掉断点,按F8慢慢向下走!

8:到达程序的OEP!

方法六:模拟跟踪法

1:先试运行,跟踪一下程序,看有没有SEH暗桩之类

2:ALT+M打开内存镜像,找到(包含=SFX,imports,relocations)

内存镜像,项目 30

地址=0054B000

大小=00002000 (8192.)

Owner=check 00400000

区段=.aspack

包含=SFX,imports,relocations

类型=Imag 01001002

访问=R

初始访问=RWE

3:地址为0054B000,如是我们在命令行输入tc eip<0054B000,回车,正在跟踪ing。。

Btw:大家在使用这个方法的时候,要理解他是要在怎么样的情况下才可以使用

方法七:“SFX”法

1:设置OD,忽略所有异常,也就是说异常选项卡里面都打上勾

2:切换到SFX选项卡,选择“字节模式跟踪实际入口(速度非常慢)”,确定。

3:重载程序(如果跳出是否“压缩代码?”选择“否”,OD直接到达OEP)

首先忽略所有异常

在SFX中选择如下

此时点击左上角,即可到达程序OEP

 

 

 

 

 

OD 手动脱壳 - UPX
文公子的博客
08-03 4381
OD 手动脱壳 - UPX 1. 准备工作 1.OD 吾爱破解 链接:https://pan.baidu.com/s/1ErDTW3D1n_XTAfTh8uMEbQ 提取码:tr45 2. 待脱壳程序 test2.exe 链接:https://pan.baidu.com/s/1GUseFGIB8jnrhGE_0bSZoA 提取码:xki4 3. 查壳工具 PEiD 0.95 链接:https://pan.baidu.com/s/1WUBRRcmu19CxKCh8u
脱壳之aspack压缩壳
Nattevak
12-29 2356
  一般再执行Shell部分代码时,会先保存上下文环境,使用push指令(pushad/pushfd),执行Shell部分代码之后,再使用pop指令(popad/popfd)恢复环境,使堆栈平衡,故使用ESP定律进行简单脱壳。 1.使用OD载程序,发现pushad指令,判断程序已壳。 2.按下F8单步步过,使得程序走到CALL的位置,然后对ESP下断点,再将程序运行起来 3.程序断下来的地方即为pop的地方 4.F8单步步过,找到原始OEP 5.在原始OEP处,右键菜单,选择用OllyDu
史上最全最完整,最详细,软件保护技术-程序脱壳篇-逆向工程学习记录
热门推荐
书山有路勤为径,学海无涯苦作舟
06-18 1万+
历史:壳是最早出现的专用密软件技术!作用:可以是开发者未来保护自己的代码不被借鉴、破解、逆向;也可用来病毒、木马、蠕虫隐藏恶意代码,不被杀毒如软件查杀!预习:vmp纯虚拟机壳,目前公认认为公认最强。温馨提示:脱壳上瘾,可不要随意传播哦!
脱壳-UPX
weixin_43657323的博客
07-10 984
首先需要准备一个新鲜的upx壳还有exeinfo和OD。 exeinfo看是什么壳,可以看到这是一个upx的壳。 然后放到OD里面 一、单步跟踪 按F8,或者反汇编区上面的下箭头进行单步调试 看到十六进制区域出现红色的箭头,说明出现跳转,按F8,直接跳转到箭头指向处,继续单步调试 出现上箭头,我们不让他跳回,选择(005790AB)地址按F4(右键,断点,运行到指定位置),运行到指定位置,...
壳的介绍以及脱壳常用思路【收藏】
晏斐的Blog
09-10 1800
一、概论壳出于程序作者想对程序资源压缩、注册保护的目的,把壳分为压缩壳和密壳两种UPX ASPCAK TELOCK PELITE NSPACK ...ARMADILLO ASPROTECT ACPROTECT EPE SVKP ...顾名思义,压缩壳只是为了减小程序体积对资源进行压缩,密壳是程序输入表等等进行密保护。当然密壳的保护能力要强得多!二、常见脱壳方法  预备知识1.P
脱壳的各种方法
冷血书生的专栏
06-14 3733
先介绍一下脱壳基本知识吧!常见脱壳知识:              1.PUSHAD (压栈) 代表程序的入口点              2.POPAD  (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近拉!              3.OEP:程序的入口点,软件壳就是隐藏了OEP(或者用了假的OEP),              只要我们找到程序真正的OEP,
基于Java语言的MDEX Android一键脱壳工具与Xposed插件逆向分析设计源码
最新发布
10-06
其中XML配置文件在Android项目中用于定义应用的布局、资源等信息,Java源文件包含了主要的业务逻辑实现代码,PNG图片文件可能用于应用的界面设计,Gradle构建文件用于项目的构建配置,Git忽略文件帮助管理项目本...
【胖虎的逆向之路】03——Android一代壳脱壳办法罗列&实操
无方少年游
01-16 7766
在上文中,我们讲解了关于Android整体壳的原理和实际操作,现在我们来针对目前主流的脱壳工具以及流程进行讲解,由于作者能力有限,会尽力的详细描述整体壳脱壳提示:以下是本篇文章正文内容,下面案例可供参考本文总结了当下dex整体壳的常用的一些脱壳方案,并进行复现,但是在这里仅作为实验深自己的理解为主(目前也不会这么简单的就可以拿到源Dex)但是有兴趣的朋友可以像我一样去把整个流程走一遍,深自己的理解~
蚕豆脱壳机设计cad图纸毕业生设计书.zip
04-26
1. **蚕豆脱壳机原理**:了解蚕豆脱壳基本物理过程,如摩擦、冲击、挤压等,以及如何通过机械设备实现这些过程。 2. **机械设计基础**:包括力学、材料科学、工程制图等方面的知识,用于设计和分析机械结构。 3. *...
精选资源
安卓反编译脱壳工具apk
11-14
首先,APK是Android应用的安装包格式,包含了应用程序的代码、资源文件(如图片、布局XML)、库文件和清单文件等。APK本质上是一个经过签名和压缩的ZIP文件,可以通过简单的解压来访问其中的部分内容,但核心的...
破解入门(三)-----脱壳的常用方法
系统运维
06-09 1587
什么是壳 大家应该先明白“壳”的概念。在自然界中,我想大家对"壳"这东西应该都不会陌生了,植物用它来保护种子,动物用它来保护身体等等。同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然(当然后来也出现了所谓的“壳中带籽”的壳)。由于这段程序和自然界的壳在...
用OD脱壳基本方法
02-10
壳出于程序作者想对程序资源压缩、注册保护的目的,把壳分为压缩壳和密壳两种 UPX ASPCAK TELOCK PELITE NSPACK ... ARMADILLO ASPROTECT ACPROTECT EPE SVKP ... 顾名思义,压缩壳只是为了减小程序体积对资源进行压缩,密壳是程序输入表等等进行密保护。当然密壳的保护能力要强得多!
脱壳脚本OD使用,右键,脚本,打开某个脚本即可脱壳!!!.rar
02-25
脚本脱壳 基本都可以包含 od右键,脚本,定位到某一行,然后就找到了entry point 然后就可以为所欲为le 。
od脱壳软件破解工具
09-22
但愿大家互相进修进修,大家对于破解都不是很了解,人们想学破解,可是去无从入手,所以决议为大家写1个破解初级读物的教程,但愿能大家了解破解有一些帮忙,但愿能有更多的人踏入破解的大门   1.低级,修改步伐,用ultraedit等东西修改exe文件,称暴力破解,略称爆破   中级,追出软体的注册码   高级,开具注册机   2.经常使用破解东西   (1)侦壳东西:PEiD   (2)消息联合的OllyDbg引领破解东西的新潮水   一,此刻咱们起首来进修下破解的开端,爆破~   1.侦壳   要破解1个软体起主要做的就是侦壳,要侦壳就要对壳有绝对似的了解,家喻户晓,软体作者用编程语言编著好软体后,是将它编译成扩展名为EXE的可执行文件编译为EXE的目的有两点:   (1)有一些权信息需要掩护起来,不克不及让别人随心改动,如作者的姓名、软体名称等;   (2)需要给步伐"瘦身",从而利便存储、使用以及网上传道输送   为了编译,会用到一些软体它们能将可执行文件压缩以及对信息密(图1),实现上面所说的两个功效,这些个软体称为壳软体为软体上的东东就称为"壳"壳软体差别于一般的WinZIP、WinRAR等打包类压缩软体壳软体是压缩可执行文件的,压缩后的文件可以直接运行   最多见的壳软体有3个:ASPACK 、UPX、PEcompact终究它们是主流,据计数,用它们壳的软体约占市面所有软体的90%!其它不经常使用的壳软体有ASPROTECT、PETITE 、NEOLITE、TELOCK等软体最多见的编程语言是Delphello,Visual Basic(略称VB),Visual C++(略称VC)了解些编程的常识,会让破解更轻车熟道   底下来讲侦壳,此刻比力经常使用侦壳软体就PeiD,他具备华美的图形界面外壳整合(新增到鼠标右键)功效令使用更利便,撑持拖放操作配置时,务请将"扩展到鼠标右键"打上对号   其使用要领是,鼠标点住XX.exe,按鼠标右键,选"使用PEid扫描"便可;"壳"的信息就显示在底部   2.破解东西OD   有关OD的先容我把他放到附件里了,这个是看雪论坛的先容,是比力周全的,至少我感觉比我写的要好,所以大家根据他可以大好的了解OD   3.爆破实例   爆破是破解的开端,所说的爆破,就是指路程经过过程修改可执行文件的源文件,降临达相应的目的你半大白?呵呵,举个例子好了,好比说某同享软体,它比力用户输入的注册码,要是用户输入的,跟它路程经过过程用户名(或其它)算出来的注册码相等的话(也就是说用户输入的注册码不错了),那末它就会跳到注册乐成的处所去,不然就跳到堕落的处所去   大白过来了吧,咱们只要找到这个跳转指令,把它修改成咱们需要的"造型",如许,咱们是否就可认随心所欲了?   一,破解时经常使用的汇编指令如下,汇编较弱者可先强行违住,以后就可逐步理解了   cmp a,b //比力a与b   mov a,b //把b的值送给a,使a=b   ret //归回主步伐   nop //无效用,英文"no operation"的简写,意思是"do nothellong"(呆板码90) (解释:ultraedit打开编辑exe文件时瞅见90,等同于汇编语句nop)   call //挪用子步伐,子步伐以ret末端   je 或jz //若相等则跳(呆板码74 或0F84)   jne或jnz //若不相等则跳(呆板码75或0F85)   jmp //无前提跳(呆板码EB)   jb //若小于则跳   ja //若大于则跳   jg //若大于则跳   jge //若大于等于则跳   jl //若小于则跳   jle //若小于等于则跳   pop xx //xx出栈   push xx //xx压栈   更为具体的指令请查阅汇编册本   4.破解常见修改,参看表1   汇编指令修改 相应的呆板码修改(路程经过过程16进制编辑器实现)   jnz/jne->nop 75->90   jnz/jne -> jmp 75-> EB   jz/je->nop 74->90   jz/je -> jmp 74-> EB   jnz -> jz 75->74 或 0F 85 -> 0F 84   jz -> jnz 74->75 或 0F 84 -> 0F 85   jnz -> jz 75->74 或 0F 85 -> 0F 84   je-> jne 74->75 或 0F 84 -> 0F 85   表1
OD破解工具脚本大全(附118种脱壳脚本)
09-21
Ollydbg 通常称作OD,是反汇编工作的常用工具,该Ollydbg吾爱破解专是基于Ollydbg V1.10本汉化而成,吾爱破解OD附带了118脱壳脚本和各种插件,功能非常强大,基本上不需要再附安装其它插件了。 1.对OD的窗口签名进行了更改,从而避免被针对性检测 2.修改了OD窗口切换快捷键为TAB键、 3.修改附窗口支持滚轮滚动 4.修改OD启动时为优先载插件 5.采用论坛夜冷风发布的字符串插件,有效的解决了字符串退出BUG 6.增了advancedolly插件有效解决了OD无法批量修改及无法进行带壳数据窗口跟随的BUG 7.改动了OD子窗口的类名 8.更新了部分插件及添部分插件 9.sod默认设置为全选模式,以后会自行更新 10.本次更新后的MD5:fe6ce83710c8834d37d979d818a1c6ba 吾爱破解专用.rar 11.解决注入代码时提示框 360安全卫士可能会误报StrongOD释放的驱动为病毒,造成ollydbg调试过程中某些功能不能使用。在此提醒大家一下,以免大家误会。如果想调试过程中没有什么障碍,希望大家在调试过程中暂时屏蔽掉360安全卫士。
利用OD全自动脱壳修复
09-13
利用OD全自动破解exe修复教程,或许会对你有帮助
关于几种常用的脱壳方法总结
xiaoyuai1234的博客
05-04 9812
最近一直在学习壳的破解,和大家分享一下几种常用的脱壳方法 1.esp定律 使用PEID查壳,了解壳的属性 载入OD,F8单步运行,注意寄存器的窗口 这个时候会发现只有ESP后面对应得数据为红色,我们就应该知道,可以使用ESP定律了,单击红色的ESP右键会出现HW break esp的选项 然后重载运行,单击F8,到达OEP,然后使用OD自带的脱壳插件 (oep的标志)you
脱壳方法总结
宗泽的博客
06-09 9609
一、单步跟踪法   脱壳方法有很多,先来讲脱壳方法中最基础的单步跟踪法。单步跟踪法就是利用OD的单条指令执行功能,从壳的入口一直执行到OEP,最终通过这个OEP将原程序dump出来。然当,在单步跟踪的时候需要跳过一些不能执行到的指令。   使用单步跟踪法追踪OEP的常见步骤:   1、用OD载入待脱壳文件,如果出现压缩提示,选择“不分析代码”;   2、向下单步跟踪,实现向下的跳转;   3、遇...
OD脱壳八大法
老北京砸酱锤的博客
06-22 4408
一、esp定律法 进入程序,第行为pushad 单步步过(F8)一下,查看寄存器,当8个寄存器只有esp为红色时,右击红色地址,选择数据窗口中跟随。在左下角的窗口中可以看到,自动跟随到红色地址。 选中若干数据,右击选择断点-硬件访问-(byte,word,dword 任意选择)注:只是访问的字节数不同。 运行(F9)到达断点处,单步步过(F8)几下, 进入到不是不认识的代码地方 ,右键点击分析-从模块中删除分析。 在当前窗口右键选择dollydump脱壳调试进程,分别脱壳两次,不同之处是重建输入表
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值