栏目导航: 首页 > 检测提权 > 加密破解 > 内容

手动脱壳常识介绍

www.hx99.net    时间: 2011-01-27    阅读: 次     整理: 华西安全网

手动脱壳最常见的方法逐个介绍:

单步跟踪法:

1.OD载入,不分析代码。
2.近CALL—F7,远CALL—F8,实现向下的跳转。
3.有回跳处,下一句代码处—F4 (右键—代码断点运行到所选)
4.大的跳转(大跨段,JMP***或JE***或RETN),很快就会到OEP

 
内存镜像法:

1.OD载入软件
2.点选项—调试选项—忽略全部—CTRL+F2重载
3.ALT+N打开内存镜像,找程序第一个.rsrc—F2下断—SHIFT+F9运行到断点,再打开找到程序第一个.rsrc上面的.code处(就是00401000处),F2下断—SHIFT+F9或无异常按F9,到OEP

模拟跟踪法:

无暗桩情况下使用
1.F9试运行,跑起来就无SEH暗桩之类的,否则就有.
2.ALT+N打开内存镜像,找到包含“=sfx,imports reloco tions”字符
3.地址=***   命令行输入:tceip<***,回车.

ESP定律法:

1.F8,观察OD右上角寄存器中ESP有没有实现(红色)
2.命令行下 DD ******(当前代码ESP值),回车
3.DD就选中下端地址,断点—硬件访问—DWORD断点,F9运行,到跳转处按F8 到DEP

最后一次异常法:

1.OD打开—点选项—调试选项—去掉所有异常—CTRL+F2重载.
2.SHIFT+F9.只到程序运行,记下次数M
3.CTRL+F2重载—按SHIFT+F9(次数为M-1次)
4.按CTRL+G—输入OE右下角的SE句柄前的地址.
5.F2下断—SHIFT+F9到断点处.
6.去断按F8,到OEP.

一步到位OEP法:

只适合少数壳,如UPX,ASPACK
1.CTRL+F—输入:POPAD.回车查找—F2下断—F9运行到此处.
2.来到大跳转处,点F8到OEP.

SFX法:

1.设置OD,忽略所有异常.
2.切换到SFX选项卡,选择“字节模式跟踪实际入口”,确定.
3.重载—“否”压缩代码,到OEP.

本文来源:华西安全网[http://www.hx99.net]
发表评论】【告诉QQ好友】【错误报告】【加入收藏】【关闭