假期学习脱壳技巧总结(一)

最新推荐文章于 2022-07-30 15:52:01 发布
最新推荐文章于 2022-07-30 15:52:01 发布
阅读量212 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43600412/article/details/104975470
版权

脱壳是破解逆向题目的必要过程,但是这一过程往往也是让人挠破头皮的又多又杂,别问我怎么知道的。
1.upx(压缩壳)
方法一:单步跟踪
使程序只执行向下跳转,不让向上跳,直到运行到popad处(和开始的pushad对应),后面的jmp大跳跳转到oep。
方法二:ESP定律法
pushad后根据寄存器ESP的值在数据窗口跟随(命令:dd [ESP] )
断点—>硬件访问—>Word(命令:hr [ESP] )—>运行—>删除硬件断点—>F8到OEP。
方法三:一步直达法
根据pushad和popad成对出现性质 Ctrl+F查找命令(不勾选整个段)。
------------------------------------------------------------------------------------------------------------
2.ASPACK壳(压缩壳)
ASPack 2.12 -> Alexey Solodoynikoy

方法一:单步跟踪
使程序只执行向下跳转,不让向上跳,直到运行到popad处(和开始的pushad对应),后面的jmp大跳跳转到oep

方法二:ESP定律法
pushad后根据寄存器ESP的值在数据窗口跟随(命令:dd [ESP] )
右键断点—>硬件访问—>Word(命令:hr [ESP] )—>运行—>删除硬件断点—>F8到OEP

方法三:2次内存镜像法
ALT+M(到程序段)—>在第一个.rsrc设置访问中断(F2)—>Shift+F9—>ALT+M(到程序段)—>在00401000设置访问中断(F2)—>Shift+F9—>向下运行几步便可以看到popad

方法四:一步直达法
根据pushad和popad成对出现性质 Ctrl+F查找命令(不勾选整个段,CTRL+L查找下一个)

NsPack壳
版本:nSPack 1.3 -> North Star/Liu Xing Ping
开始pushfd
方法一:ESP定律法
单步运行,发现ESP值变换
断点—>硬件访问—>Word(命令:hr [ESP] )—>运行(到达popfd)—>删除硬件断点—>F8到OEP

方法二:单步跟踪
使程序只执行向下跳转,不让向上跳,直到运行到popfd处(和开始的pushfd对应)

方法三:2次内存镜像法
ALT+M(到程序段)—>在00401000设置访问中断(F2)—>Shift+F9—>向下运行几步便可以看到popfd

方法五:模拟跟踪法
ALT+M(到程序段)查找包含SFX,imports,relocations的区段—>输入命令“tc eip<[地址]”—>到达OEP或者需要向下运行几步

FSG壳

FSG 2.0 -> bart/xt

方法一:单步跟踪
使程序只执行向下跳转,不让向上跳,直到运行到三个连续跳转处,其中jmp(无条件跳转)跳转之后即为OEP

方法二:ESP定律法
push后根据寄存器ESP的值在数据窗口跟随(命令:dd [ESP] )
断点—>硬件访问—>Word(命令:hr [ESP] )—>运行—>删除硬件断点—>F8到OEP

方法三:FSG 2.0 专用ESP定律法
当执行到popad后一条代码时,查看堆栈窗口,第四条的数值即为OEP地址,反汇编窗口跟随,设置硬件断点,运行即可到OEP
——————————————————————————————————

PECompact壳

PECompact 2.x -> Jeremy Collake

方法1:单步跟踪
使程序只执行向下跳转,不让向上跳,当执行某些call程序出现时,咋则重新加载进入call单步跟踪,直到找到OEP

方法二:ESP定律法
push后根据寄存器ESP的值在数据窗口跟随(命令:dd [ESP] )
断点—>硬件访问—>Word(命令:hr [ESP] )—>运行—>删除硬件断点—>F8到OEP

方法三:BP VirtualFree
命令添加断点(BP VirtualFree)—>Shift+F9—>取消断点—>返回到用户代码(Alt+F9)—>查找push 8000(特征码)并运行到此—>F8到OEP

方法四:BP VirtualFree
命令添加断点(BP VirtualFree)—>Shift+F9—>Shift+F9—>取消断点—>返回到用户代码(Alt+F9)—>F8到OEP

方法五:bp [开始mov的地址]
bp [开始mov的地址]—>Shift+F9—>在retn下面下断点—>Shift+F9—>F8到OEP

方法六:bp VirtualAlloc
命令添加断点(BP irtualAlloc)—>Shift+F9—>取消断点—>返回到用户代码(Alt+F9)—>向下拉看到JMP运行到这—>F8到OEP

方法七:最后一次异常法
选项—>调试设置—>异常—>忽略所有异常(取消所有勾)—>重新载入—>Shift+F9(直到程序跑飞,记录次数)—>重新载入—>Shift+F9(刚才记录的次数-1)—>堆栈窗口查找SE句柄—>CTRL+G—>堆栈窗口句柄对应的值(十六进制形式)—>在retn下面下断点—>Shift+F9—>F8到OEP。

有些技巧还没有记录进去,将会继续学习补充。

沙窝李
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
自己的脱壳过程(PEtite2.2)
潜心学习
07-20 1778
以前分析过一个壳的源码就是用异常到达OEP的(而不是单纯jmp到oep) 今天脱的这个PEtite 2.2用普通的方法(内存断点,ESP定律等)似乎都无法跟到OEP 这种情况下可以尝试异常法,就是说这个壳在某个位置触发一个异常,让你的程序跟不下去,解决方法也很简单就是到那个异常里面下一个断点然后跟着异常处理程序走一段就发现跳转到OEP的位置了 OD选项中不忽略任何异常 Shif
脱壳的各种方法
冷血书生的专栏
06-14 3615
先介绍一下脱壳的基本知识吧!常见脱壳知识:              1.PUSHAD (压栈) 代表程序的入口点              2.POPAD  (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近拉!              3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP),              只要我们找到程序真正的OEP
常见的脱壳技巧
m0_37120576的博客
04-30 620
一个软件的保护,除了加入花指令之类的保护,当然是离不开壳的保护的。那么,常见的壳大多可以分为两种,一种是加密壳,一种是压缩壳。当我们想对一个软件的源码进行分析或者是想对一个软件进行优化的时候,壳就是挡在我们面前的第一个问题。那么,我们可以在这里讨论下常见的脱壳技巧,来看看以前的壳都是怎么来保护软件的。一般情况下,压缩壳是将一些常用的代码进行替换,然后在程序运行之前,壳的代码先运行,将替换掉的代码再
逆向分析脱壳技巧总结
关注互联网安全的小虾米一枚
07-26 2494
一.脱壳基础知识要点 1.PUSHAD :(压栈) 代表程序的入口点 2.POPAD :(出栈) 代表程序的出口点,与PUSHAD想对应.看到这个,就说明快到OEP了. 3.OEP:程序的入口点,软件加壳就是隐藏OEP.而我们脱壳就是为了找OEP. --------------------------------------- 二.脱壳调试过程中辨认快到OEP的方法 下
各种壳的脱法及技巧
weixin_43781139的博客
11-27 877
各种壳的脱法及技巧 常见脱壳知识: 1.PUSHAD (压栈) 代表程序的入口点 2.POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个,说明OEP可能就在附近 3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP), 只要我们找到程序真正的OEP,就可以立刻脱壳 1、模拟跟踪法 无暗桩情况下使用 1.F9试运行,跑起来就无SEH暗桩之类的,否则就有. 2.ALT+M打开内存镜像,找到包含“=sfx,imports reloco tions”字符 3.地.
脱壳基础学习视频大全内容
05-06
脱壳基础学习视频大全内容
一款很不错的脱壳软件 前来分享
03-18
在IT领域,脱壳软件是安全专家和逆向工程师常用的一种工具,主要用于解除对可执行文件(EXE、DLL等)的保护层,以便分析其内部结构和代码。标题提到的"一款很不错的脱壳软件 前来分享"表明我们将讨论的是一款高质量...
脱壳基础知识入门电子书(脱壳技巧
07-20
总的来说,《脱壳基础知识入门》电子书为初学者提供了一个全面了解和学习脱壳技术的平台,通过学习,读者不仅可以掌握脱壳的基本概念和技术,还能提升对计算机安全和逆向工程的理解,对于从事相关工作的专业人士或者...
吾爱破解论坛学习脱壳实例
07-16
吾爱破解脱壳实例,用于学习怎么给安卓的软件代码反编译时进行脱壳
假期学习脱壳技巧(二)
weixin_43600412的博客
03-22 149
EZIP壳 EZIP 1.0 入口很多JMP 方法一:单步跟踪 使程序只执行向下跳转,不让向上跳,直到运行到三个连续跳转处,其中jmp(无条件跳转)跳转之后即为OEP 方法二:ESP定律法 JMP后、push后根据寄存器ESP的值在数据窗口跟随(命令:dd [ESP] ) 断点—>硬件访问—>Word(命令:hr [ESP] )—>运行—>删除硬件断点—>F8到OEP...
脱壳方法总结
宗泽的博客
06-09 9376
一、单步跟踪法   脱壳的方法有很多,先来讲脱壳方法中最基础的单步跟踪法。单步跟踪法就是利用OD的单条指令执行功能,从壳的入口一直执行到OEP,最终通过这个OEP将原程序dump出来。然当,在单步跟踪的时候需要跳过一些不能执行到的指令。   使用单步跟踪法追踪OEP的常见步骤:   1、用OD载入待脱壳文件,如果出现压缩提示,选择“不分析代码”;   2、向下单步跟踪,实现向下的跳转;   3、遇...
逆向基础-脱壳
AppWhite_Star的博客
07-30 1863
逆向基础-脱壳
关于几种常用的脱壳方法总结
xiaoyuai1234的博客
05-04 9499
最近一直在学习壳的破解,和大家分享一下几种常用的脱壳方法 1.esp定律 使用PEID查壳,了解壳的属性 载入OD,F8单步运行,注意寄存器的窗口 这个时候会发现只有ESP后面对应得数据为红色,我们就应该知道,可以使用ESP定律了,单击红色的ESP右键会出现HW break esp的选项 然后重载运行,单击F8,到达OEP,然后使用OD自带的脱壳插件 (oep的标志)you
ESP定律脱压缩壳aspack
m0_60551756的博客
08-08 197
查看信息 查看加壳信息,这是压缩壳aspack 关闭随机基址 如果启用了随机基址,可以使用010Editor将OptionalHeader中这个字段置为0,关闭随机基址 寻找OEP 使用OD加载程序,当看到PUSHAD/PUSHFD指令时,判断程序已加壳 步过PUSHAD,对ESP(当前堆栈)下访问断点或者是写入断点 让程序跑起来,中断的地方即为POPAD/POPFD,从这里单步走几次之后,一般就能找到原始OEP DUMP内存到文件 在原始OE...
软件脱壳常见的几种方法
愿Bug与你同在
02-24 7078
OD脱壳手册
html css js网页设计
07-12
HTML、CSS和JavaScript是构建网页和网站的基本技术,它们共同工作来创建和设计用户界面。下面是关于这三种技术的详细介绍: ### HTML (HyperText Markup Language) - **定义**:HTML是构建网页内容的标准标记语言。 - **作用**:用于创建网页的结构和内容,如段落、链接、图片、表格等。 - **语法**:使用标签(如 `<p>`, `<div>`, `<a>`, `<img>` 等)来定义网页元素。 ### CSS (Cascading Style Sheets) - **定义**:CSS是一种样式表语言,用于描述HTML文档的呈现方式。 - **作用**:用于设置网页的布局、颜色、字体和其他视觉元素。 - **语法**:通过选择器(如 `p`, `.myclass`, `#myid` 等)应用样式规则。 ### JavaScript - **定义**:JavaScript是一种脚本语言,通常用于网页上实现交互功能。 - **作用**:允许网页与用户进行交互,如响应用户操作、动态更新内容、动画效果等。 - **语法**:Java
2023年数字乡村建设解决方案PPT(34页).pptx
最新发布
07-12
数字乡村建设解决方案旨在通过数字化转型促进乡村振兴和农业农村现代化。该方案强调了数字乡村建设的战略机遇,以"1+3+5"工程为总体框架,即一个大数据中心、三大服务平台和五类主题应用。方案着重于乡村治理、产业发展和公共服务三大问题,通过完善治理体系、升级治理能力、强化产业链条和改善资源配置来推动乡村全面振兴。 方案中提出的数字乡村大数据中心是信息资源的集散地,依托大数据、AI、物联网等新技术,实现数据驱动的决策支持。三大服务平台包括产业服务、民生服务和治理服务,旨在提升农业生产智能化、经营网络化,同时优化乡村治理结构和提升服务效能。五类主题应用覆盖生产管理、流通营销、行业监管、公共服务和乡村治理,通过具体业务应用体系,实现农业全产业链的数字化管理和服务。 预期建设效益包括通过信息技术促进乡村优势产业发展,形成城郊融合型数字乡村治理新模式,以及创新服务方式,提升服务能力,保障农民权益。整体而言,该方案以数字化为手段,推动乡村经济、治理、文化等多方面的全面升级和发展。
脉冲强光技术在灭菌烧结固化应用解决方案
07-12
脉冲强光技术在灭菌烧结固化应用解决方案,已经得到厂家授权,可以对外公示。
一个软件如何脱壳逆向解析
07-13
软件脱壳和逆向工程是一种研究和分析软件的方法,但需要注意的是,这些活动可能涉及到侵犯软件的版权和法律问题。在进行任何逆向工程前,请确保您遵守适用的法律法规,并且只对您有合法所有权的软件进行操作。 一般来说,要脱壳和逆向解析一个软件,您可以考虑以下步骤: 1. 确定软件类型:了解软件的类型(例如:可执行文件、动态链接库等)以及它所使用的保护机制(如加密、壳等)。 2. 反汇编:使用逆向工程工具(如IDA Pro、OllyDbg等)对软件进行反汇编,将二进制文件转换为可读的汇编代码。 3. 静态分析:仔细研究和分析软件的汇编代码,以理解其结构、功能和逻辑。 4. 动态分析:在调试器中运行软件,并使用动态分析工具(如OllyDbg、x64dbg等)进行监视和跟踪,以了解软件的运行过程和行为。 5. 解除保护:如果软件被保护(如加壳),您可能需要使用专门的工具或技术来解除保护,以便进一步分析。 请注意,逆向工程是一项复杂的技术活动,需要有相关的知识和经验。此外,逆向工程活动可能违反软件许可协议和法律法规。在进行逆向工程之前,请确保您了解相关法律,并遵守合法和道德的原则。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值