脱壳--03.exe OD脚本脱壳

最新推荐文章于 2024-01-15 15:51:13 发布
最新推荐文章于 2024-01-15 15:51:13 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: 脱壳 文章标签: 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45012273/article/details/122829120
版权

和02程序类似 但是我们换一种方式脱壳 就是利用OD脚本脱壳

我们通过02程序知道壳代码在获取真正的api地址以后 会对api地址做一些处理 然后在填写到iat表中 在我们调用api的时候 并没有直接调用到api 而是加密后的api的代码

脚本的框架:只需要知道三个地址 获取真正api的地址 填写iat的地址和oep的地址

得到获取真正api的地址把api地址存放在一个临时变量里 中间不管他怎么加密 到填写IAT表的时候 都会填写我们事先保存的临时变量里的api的地址

我们现在只要调试出这三个地址 在用OD加载脚本 就可以自动填写iat了

//1. 初始化变量
MOV dwGetApiAddr,0   //获取api真正地址的地址
MOV dwWriteIATAddr,0 //iat的地址
MOV dwOEP,0 //OEP的地址

//2.删除断点
BC  //清除软件断点
BPHWC //删除所有硬件断点
BPMC  //清除内存断点

//3.设置硬件执行断点
BPHWS dwGetApiAddr,"X"
BPHWS dwWriteIATAddr,"X"
BPHWS dwOEP,"X"

//4.循环
LOOP0:
RUN   //F9
CMP dwGetApiAddr,eip
JNZ CASE1
MOV dwTmp,eax         //把正确的API地址放到临时变量里
JMP LOOP0
CASE1:
CMP dwWriteIATAddr,eip
JNZ CASE2
MOV [edi],dwTmp       //把正确的API地址填写到iat里
JMP LOOP0
CASE2:
CMP dwOEP,eip
JNZ LOOP0

MSG "修复成功"

这个程序完全和程序2一样 利用函数getVersion函数找到oep地址 填写到OD脚本中 

0049D5ee eax就是api加密后代码的地址 填写到正确的iat以后 我们再用正确的函数地址覆盖 所以0049D5F0下断点覆盖iat  0049D5F0填写到OD脚本中

向上翻 GetProcAddress函数获取真正的函数地址 走过这一句eax也就保存了函数地址  填写到OD脚本中

填写后的 od脚本

//1. 初始化变量
MOV dwGetApiAddr,0049D5BF    //获取api真正地址的地址
MOV dwWriteIATAddr,0049D5F0   //填写iat的地址
MOV dwOEP,0044848D  //OEP的地址

//2.删除断点
BC  //清除软件断点
BPHWC //删除所有硬件断点       a
BPMC  //清除内存断点

//3.设置硬件执行断点
BPHWS dwGetApiAddr,"x"
BPHWS dwWriteIATAddr,"x"
BPHWS dwOEP,"x"

//4.循环
LOOP0:
RUN   //F9
CMP dwGetApiAddr,eip
JNZ CASE1
MOV dwTmp,eax         //把正确的API地址放到临时变量里
JMP LOOP0
CASE1:
CMP dwWriteIATAddr,eip
JNZ CASE2
MOV [edi],dwTmp       //把正确的API地址填写到iat里
JMP LOOP0
CASE2:
CMP dwOEP,eip
JNZ LOOP0

MSG "修复成功"

OD右键 运行脚本 打开

 

 直接运行

说明跑到了OEP  

再看IAT表就已经修复完成了 

接下来就是dump

 

转存到文件 

 

成功运行 脱壳成功 

 

 

很酷很爱笑
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OD破解工具脚本大全(附118种脱壳脚本
09-21
Ollydbg 通常称作OD,是反汇编工作的常用工具,该Ollydbg吾爱破解专版是基于Ollydbg V1.10版本汉化而成,吾爱破解OD附带了118脱壳脚本和各种插件,功能非常强大,基本上不需要再附加安装其它插件了。 1.对OD的窗口签名进行了更改,从而避免被针对性检测 2.修改了OD窗口切换快捷键为TAB键、 3.修改附加窗口支持滚轮滚动 4.修改OD启动时为优先加载插件 5.采用论坛夜冷风发布的字符串插件,有效的解决了字符串退出BUG 6.增加了advancedolly插件有效解决了OD无法批量修改及无法进行带壳数据窗口跟随的BUG 7.改动了OD子窗口的类名 8.更新了部分插件及添加部分插件 9.sod默认设置为全选模式,以后会自行更新 10.本次更新后的MD5:fe6ce83710c8834d37d979d818a1c6ba 吾爱破解专用版.rar 11.解决注入代码时提示框 360安全卫士可能会误报StrongOD释放的驱动为病毒,造成ollydbg调试过程中某些功能不能使用。在此提醒大家一下,以免大家误会。如果想调试过程中没有什么障碍,希望大家在调试过程中暂时屏蔽掉360安全卫士。
移动安全-Frida脱壳脚本与加固迭代
道阻且长,行则将至。
03-05 6403
众所周知,Android应用开发完成后,除了使用Google官方的混淆外,还需要使用一些第三方的安全软件的加壳处理,比较出名的有腾讯乐固、360加固和爱加密等。我之前所在的公司,就是使用爱加密进行加壳处理的。 虽然加密后,让软件的安全性更高了,但并不是无懈可击,一些反加固技术和脱壳技术应运而生。今天要说的就是腾讯乐固、360加固一键脱壳。经过加固后的apk,通过dex2jar反编译效果是下面这样的: 腾讯乐固加固: 360加固 ...
简单脱壳教程笔记
A powerful and unconstrained style
08-18 6694
简介: UPX (the Ultimate Packer for eXecutables)是一款先进的可执行程序文件压缩器,压缩过的可执行文件体积缩小50%-70%,主要功能是压缩PE文件(比如exe,dll等文件),有时候也可能被病毒用于免杀.壳upx是一种保护程序。 脱壳: 工具: ExeinfoPE或PEid、OD、LordPE、ImportREConstructor 脱壳文件: 01.rmvbfix.exe 笔记: 1、使用ExeinfoPE或PEid确定是否加壳 2、脱壳
初学习OD目标检测常用脚本
sinat_42367115的博客
02-21 433
初学OD目标检测常用脚本~自用~
Frida-dexdump批量脱壳软件
qq_46113775的博客
01-15 2358
给app脱壳的大致流程为安装app->运行app->查壳->脱壳->脱壳完成,但如果需要脱壳的app过多,一个个来可能会太慢太消耗时间,于是我编写了一个使用frida-dexdump加逍遥模拟器的批量脱壳脚本,使用起来可能还会有一些bug,仅以此博客作为记录,如果有人也有这方面的想法,也可以以此作为参考。
EXE Pack ——脱壳
sxr__nc的博客
12-12 1668
0x00 查看程序信息: 程序运行状态: 0X01调试器调试 一路F7,可以来到壳程序解密数据的代码,通过反汇编窗口可以实时的跟踪被修改的数据情况: 之后F7 进行单步调试,可以看到很多API函数的调用,在这里需要注意的是,CreateProcessA函数的调用,会新建一个与现有进程名字一样的新进程: 这个进程其实是一个守护进程的作用,在创建进程之后,就会退出当前进程,所以我们要做的操作...
OD脱壳八大法
老北京砸酱锤的博客
06-22 3701
一、esp定律法 进入程序,第行为pushad 单步步过(F8)一下,查看寄存器,当8个寄存器只有esp为红色时,右击红色地址,选择数据窗口中跟随。在左下角的窗口中可以看到,自动跟随到红色地址。 选中若干数据,右击选择断点-硬件访问-(byte,word,dword 任意选择)注:只是访问的字节数不同。 运行(F9)到达断点处,单步步过(F8)几下, 进入到不是不认识的代码地方 ,右键点击分析-从模块中删除分析。 在当前窗口右键选择dollydump脱壳调试进程,分别脱壳两次,不同之处是重建输入表
一篇学会脱壳——06.exe脱壳
摔不死的笨鸟的博客
09-07 6854
加密壳脱壳
OD 手动脱壳 - UPX
文公子的博客
08-03 2783
OD 手动脱壳 - UPX 1. 准备工作 1.OD 吾爱破解版 链接:https://pan.baidu.com/s/1ErDTW3D1n_XTAfTh8uMEbQ 提取码:tr45 2. 待脱壳程序 test2.exe 链接:https://pan.baidu.com/s/1GUseFGIB8jnrhGE_0bSZoA 提取码:xki4 3. 查壳工具 PEiD 0.95 链接:https://pan.baidu.com/s/1WUBRRcmu19CxKCh8u
脱壳基础教程
Aquarius_ego的博客
05-29 6542
软件脱壳相关介绍
脱壳脚本OD使用,右键,脚本,打开某个脚本即可脱壳!!!.rar
02-25
脚本脱壳 基本都可以包含 od右键,脚本,定位到某一行,然后就找到了entry point 然后就可以为所欲为le 。
Safengine Protector脱壳脚本2021.txt
10-26
Safengine Protector脱壳脚本2021.txt
700多种OD脱壳脚本
07-17
非常全面的OD脱壳脚本,下载试试看吧!UPX,ASPack,穿山甲,等等,非常多!
Themida - Winlicense Ultra Unpacker 脱壳教程
最新发布
05-08
脱壳脚本(Themida - Winlicense Ultra Unpacker 1.4) 2. 查壳软件ExeinfoPE 3. 其要用的插件有:ODbgScript、PhantOm、StorngOD,这些插件我已经在压缩包里面准备好了,请大家尽情享用。 4. 还有一点要叮嘱的就是...
壳的介绍以及脱壳常用思路【收藏】
晏斐的Blog
09-10 1580
一、概论壳出于程序作者想对程序资源压缩、注册保护的目的,把壳分为压缩壳和加密壳两种UPX ASPCAK TELOCK PELITE NSPACK ...ARMADILLO ASPROTECT ACPROTECT EPE SVKP ...顾名思义,压缩壳只是为了减小程序体积对资源进行压缩,加密壳是程序输入表等等进行加密保护。当然加密壳的保护能力要强得多!二、常见脱壳方法  预备知识1.P
史上最全最完整,最详细,软件保护技术-程序脱壳篇-逆向工程学习记录
书山有路勤为径,学海无涯苦作舟
06-18 3058
历史:壳是最早出现的专用加密软件技术!作用:可以是开发者未来保护自己的代码不被借鉴、破解、逆向;也可用来病毒、木马、蠕虫隐藏恶意代码,不被杀毒如软件查杀!预习:vmp纯虚拟机壳,目前公认认为公认最强。温馨提示:脱壳上瘾,可不要随意传播哦!
EXE、DLL文件的脱壳
平凡的心
03-29 8906
    这是因为文件使用了一些压缩加壳软件加密过,这就需要对文件进行解压脱壳处理后,才能汉化。这种压缩与我们平时接触的压缩工具如winzip,winrar等压缩不同,winzip压缩后的文件不能直接执行,而这种 EXE 压缩软件,EXE文件压缩后,仍可以运行。这种压缩工具把文件压缩后,会在文件开头一部分,加了一段解压代码。执行时该文件时,该代码先执行解压还原文件,不过这些都是在内存中完成的,由于
脱壳--02.exe
weixin_45012273的博客
02-08 756
程序开始 使用OD打开程序 发现无法利用esp定律 程序直接运行 查找模块间调用 随便找到一个函数的调用 发现是FF15方式调用 所以是vs的程序 vs程序大致分成两种 vs20xx (特征函数:GetSystemTimeAsFileTime)和 vc++6.0(特征函数:GetVersion) 通过链接器版本 发现是vc6.0 直接在GetVersion上下断点 重新运行程序 断点断下 返回到调用处 vc6.0和易语言的第一个CALL都是GetVers...
脱壳学习记录----DLL找OEP
qq_42192672的博客
09-13 1565
还是做一些加密解密3的学习记录 文件链接:https://pan.baidu.com/s/1-KiagpsimjDBsyMF01ouxA 密码:tt8u 工具链接:https://pan.baidu.com/s/14dP_ksqM8WvTnKxCZ18xUw 密码:qqr5 DLL文件脱壳相比于EXE脱壳困难一些 先压缩,要是失败了,就找别的工具吧 用PEEditor查看一下加壳后的DL...
请给出WinLicense v3.13 的脱壳脚本
05-24
因此,对于WinLicense进行脱壳需要使用专门的脱壳工具和脚本。 由于WinLicense的版本和加密方式不同,脱壳脚本也会有所不同。如果您需要针对具体的WinLicense版本进行脱壳,建议您在互联网上搜索相关的脱壳教程和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值