亚洲精品日韩片无码中文字幕_ 用OD脫殼的基本方法- 笑傲江湖

用OD脫殼的基本方法

一、概論

殼出于程序作者想對程序資源壓縮、注冊保護的目的，把殼分為壓縮殼和加密殼兩種
UPX ASPCAK TELOCK PELITE NSPACK ...
ARMADILLO ASPROTECT ACPROTECT EPE SVKP ...
顧名思義，壓縮殼只是為了減小程序體積對資源進(jìn)行壓縮，加密殼是程序輸入表等等進(jìn)行加密保護。當然加密殼的保護能力要強得多！

二、常見(jiàn)脫殼方法

預備知識

1.PUSHAD （壓棧）代表程序的入口點(diǎn),
2.POPAD （出棧）代表程序的出口點(diǎn)，與PUSHAD想對應，一般找到這個(gè)OEP就在附近
3.OEP：程序的入口點(diǎn)，軟件加殼就是隱藏了OEP（或者用了假的OEP/FOEP），只要我們找到程序真正的OEP，就可以立刻脫殼。

方法一：?jiǎn)尾礁櫡?br>1.用OD載入，點(diǎn)“不分析代碼！”
2.單步向下跟蹤F8，實(shí)現向下的跳。也就是說(shuō)向上的跳不讓其實(shí)現?。ㄍㄟ^(guò)F4）
3.遇到程序往回跳的（包括循環(huán)），我們在下一句代碼處按F4（或者右健單擊代碼，選擇斷點(diǎn)——>運行到所選）
4.綠色線(xiàn)條表示跳轉沒(méi)實(shí)現，不用理會(huì )，紅色線(xiàn)條表示跳轉已經(jīng)實(shí)現！
5.如果剛載入程序，在附近就有一個(gè)CALL的，我們就F7跟進(jìn)去，不然程序很容易跑飛，這樣很快就能到程序的OEP
6.在跟蹤的時(shí)候，如果運行到某個(gè)CALL程序就運行的，就在這個(gè)CALL中F7進(jìn)入
7.一般有很大的跳轉（大跨段），比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN的一般很快就會(huì )到程序的OEP。

Btw:在有些殼無(wú)法向下跟蹤的時(shí)候，我們可以在附近找到?jīng)]有實(shí)現的大跳轉，右鍵-->“跟隨”,然后F2下斷，Shift+F9運行停在“跟隨”的位置，再取消斷點(diǎn)，繼續F8單步跟蹤。一般情況下可以輕松到達OEP！

方法二：ESP定律法
ESP定理脫殼（ESP在OD的寄存器中，我們只要在命令行下ESP的硬件訪(fǎng)問(wèn)斷點(diǎn)，就會(huì )一下來(lái)到程序的OEP了?。?br>1.開(kāi)始就點(diǎn)F8，注意觀(guān)察OD右上角的寄存器中ESP有沒(méi)突現（變成紅色）。（這只是一般情況下，更確切的說(shuō)我們選擇的ESP值是關(guān)鍵句之后的第一個(gè)ESP值）
2.在命令行下：dd XXXXXXXX(指在當前代碼中的ESP地址，或者是hr XXXXXXXX)，按回車(chē)！
3.選中下斷的地址，斷點(diǎn)--->硬件訪(fǎng)--->WORD斷點(diǎn)。
4.按一下F9運行程序，直接來(lái)到了跳轉處，按下F8，到達程序OEP。

方法三：內存鏡像法
1：用OD打開(kāi)軟件！
2：點(diǎn)擊選項——調試選項——異常，把里面的忽略全部√上！CTRL+F2重載下程序！
3：按ALT+M,打開(kāi)內存鏡象，找到程序的第一個(gè).rsrc.按F2下斷點(diǎn)，然后按SHIFT+F9運行到斷點(diǎn)，接著(zhù)再按ALT+M,打開(kāi)內存鏡象，找到程序的第一個(gè).rsrc.上面的.CODE（也就是00401000處），按F2下斷點(diǎn)！然后按SHIFT+F9（或者是在沒(méi)異常情況下按F9），直接到達程序OEP！

方法四：一步到達OEP
1.開(kāi)始按Ctrl+F,輸入：popad（只適合少數殼，包括UPX，ASPACK殼），然后按下F2，F9運行到此處
2.來(lái)到大跳轉處，點(diǎn)下F8，到達OEP！

方法五：最后一次異常法
1：用OD打開(kāi)軟件
2：點(diǎn)擊選項——調試選項——異常，把里面的√全部去掉！CTRL+F2重載下程序
3：一開(kāi)始程序就是一個(gè)跳轉，在這里我們按SHIFT+F9，直到程序運行，記下從開(kāi)始按SHIFT+F9到程序運行的次數m！
4：CTRL+F2重載程序，按SHIFT+F9（這次按的次數為程序運行的次數m-1次）
5：在OD的右下角我們看見(jiàn)有一個(gè)"SE 句柄"，這時(shí)我們按CTRL+G，輸入SE 句柄前的地址！
6：按F2下斷點(diǎn)！然后按SHIFT+F9來(lái)到斷點(diǎn)處！
7：去掉斷點(diǎn)，按F8慢慢向下走！
8：到達程序的OEP！

方法六：模擬跟蹤法
1：先試運行，跟蹤一下程序，看有沒(méi)有SEH暗樁之類(lèi)
2：ALT+M打開(kāi)內存鏡像，找到（包含=SFX,imports,relocations）

內存鏡像，項目 30
地址=0054B000
大小=00002000 (8192.)
Owner=check       00400000
區段=.aspack
包含=SFX,imports,relocations
類(lèi)型=Imag 01001002
訪(fǎng)問(wèn)=R
初始訪(fǎng)問(wèn)=RWE

3：地址為0054B000，如是我們在命令行輸入tc eip<0054B000,回車(chē)，正在跟蹤ing。。

Btw:大家在使用這個(gè)方法的時(shí)候，要理解他是要在怎么樣的情況下才可以使用

方法七：“SFX”法
1：設置OD，忽略所有異常，也就是說(shuō)異常選項卡里面都打上勾
2：切換到SFX選項卡，選擇“字節模式跟蹤實(shí)際入口（速度非常慢）”，確定。
3：重載程序（如果跳出是否“壓縮代碼？”選擇“否”，OD直接到達OEP）
如何分辨加密殼和壓縮殼，通用特點(diǎn)，Od載入時(shí)有入口警告或詢(xún)問(wèn)是壓縮程序嗎？普通壓縮殼Od調試時(shí)候沒(méi)有異常，加密殼全部有反跟蹤代碼，會(huì )有許多SEH陷阱使OD調試時(shí)產(chǎn)生異常。
找OEP的一般思路如下：
先看殼是加密殼還是壓縮殼，壓縮殼相對來(lái)說(shuō)容易些，一般是沒(méi)有異常。
外殼解壓代碼起始點(diǎn)如果是

pushfd
pushad

跟蹤時(shí)如果有發(fā)現

popad
popfd

對應
有些殼只有

pushad

和

popad

相對應
附近還有

retn
jmp

等指令，發(fā)生跨斷跳躍一般就到了OEP處。
當然也有其他的，如 je OEP等等，一般都是段之間的大跳轉，OD的反匯編窗口里都是同一個(gè)段的內容，所以更好區別是否是段間跳轉。

找Oep時(shí)注意兩點(diǎn)。
1、單步往前走，不要回頭。
2、觀(guān)察。注意poshad、poshfd,popad、popfd等，和外殼代碼處對應，注意地址發(fā)生大的變化。單步跟蹤什么時(shí)候F8走，F7,F4步過(guò)？

這里我說(shuō)說(shuō)關(guān)于F8(Step Over)和F7(Step in)的一般方法，粗跟的時(shí)候一般都是常用F8走，但是有些call是變形的Jmp，此時(shí)就需要F7代過(guò)，區別是否是變形Jmp的一個(gè)簡(jiǎn)單方法是比較call的目標地址和當前地址，如果兩者離的很近，一般就是變形Jmp了，用F7走。對于Call的距離很遠，可以放心用F8步過(guò)，如果你再用F7步過(guò)，只是浪費時(shí)間而已。F8步過(guò)對壓縮殼用的很多，F7步過(guò)加密殼用的很多，如果用F8一不小心就跑飛（程序運行），跟蹤失敗。

加密殼找Oep
對于加密殼，我的方法一般是用OD載入，鉤掉所有異常（不忽略任何異常，除了忽略在KERNEL32 中的內存訪(fǎng)問(wèn)異常打勾。有時(shí)由于異常過(guò)多可以適當忽略一些異常），運行，數著(zhù)用了多少次Shift+F9程序運行，顯然最后一次異常后，程序會(huì )從殼跳到OEP開(kāi)始執行，這就是我們尋找OEP的一個(gè)關(guān)鍵，如果程序 Shift+F9后直接退出，很明顯加密殼檢測調試器，最簡(jiǎn)單的應付方法就是用OD插件隱藏OD。
單步異常是防止我們一步步跟蹤程序，即F8,F7，F4等，Int3中斷是檢測調試器用的，僅在Win9x系統中有效，2000/XP就會(huì )出現斷點(diǎn)異常,其它的異常主要是干擾調試。這一系列的異常雖然干擾我們調試，但也給我們指明了一條通路，就是Shift+F9略過(guò)所有異常，然后找到最后一處異常，再它的恢復異常處下斷點(diǎn)，跟蹤到脫殼入口點(diǎn)。
確定從所有Seh異常中走出來(lái)，如果前面有大量循環(huán)，逐段解壓。
****************************************************************************************
大家先細細品位下上面的“理論”！如果你弄懂了，那你應該高興下了。。

****************************************************************************************

好了，切入正題。。。。

OD載入，因為我一開(kāi)始就不忽略所有的異常，所以一載入就提示有異常，我們shit+F9，點(diǎn)“否”，停在入口了。(不忽略所有的異常,請大家檢查一下自己的OD)

00401000 PEncryp>     FC                 cld             //停在這里了。
00401001              FC                 cld
00401002              FC                 cld
00401003              90                 nop
00401004            - E9 BDBA0000        jmp PEncrypt.0040CAC6
00401009            - E3 D5              jecxz short PEncrypt.00400FE0

下面就開(kāi)始使用最后一次異常法了。。。

我們一直狂按shit+F9，心里要數著(zhù)按了多少次，程序就運行了:)
我這里按了3次

好，我們現在重新載入程序，到了入口之后，我們再次“狂”按shit+F9，多少次？2次（3-1=2）

0040CCD2              4B                 dec ebx       //停在這里了
0040CCD3              6F                 outs dx,dword ptr es:[edi]
0040CCD4              6368 69            arpl word ptr ds:[eax+69],bp
0040CCD7              8B4424 04          mov eax,dword ptr ss:[esp+4]

好了，我們先就停在這里

看看轉存器窗口
0012FFBC      0012FFE0     指針到下一個(gè) SEH 記錄
0012FFC0      0040CCD7     SE 句柄        //Ctrl+G，到0040CCD7
0012FFC4      77E614C7     返回到 kernel32.77E614C7
0012FFC8      00000000
0012FFCC      00000000
0012FFD0      7FFDF000

F2下斷，shit+F9運行，停到0040CCD7，取消斷點(diǎn)，單步F8

0040CCD7              8B4424 04          mov eax,dword ptr ss:[esp+4]     //停到這里了
0040CCDB              8B00               mov eax,dword ptr ds:[eax]
0040CCDD              3D 04000080        cmp eax,80000004
0040CCE2              74 06              je short PEncrypt.0040CCEA     //跳走

。。。。。。。。。。

0040CCEA             /EB 02              jmp short PEncrypt.0040CCEE//跳到這里，這里又再次跳走
0040CCEC             |49                 dec ecx

。。。。。。。。。。
0040CCEE              60                 pushad      //跳到這里了，關(guān)鍵提示，繼續F8
0040CCEF              9C                 pushfd      //關(guān)鍵提示
0040CCF0              BE 00104000        mov esi,PEncrypt.<ModuleEntryPoin>
0040CCF5              8BFE               mov edi,esi
0040CCF7              B9 00100000        mov ecx,1000
0040CCFC              BB 2B11D2BB        mov ebx,BBD2112B
0040CD01              AD                 lods dword ptr ds:[esi]
0040CD02              33C3               xor eax,ebx
0040CD04              AB                 stos dword ptr es:[edi]
0040CD05            ^ E2 FA              loopd short PEncrypt.0040CD01     //要回跳了
0040CD07              9D                 popfd //在這里F4，繼續F8
0040CD08              61                 popad
0040CD09              EB 02              jmp short PEncrypt.0040CD0D     //跳走

。。。。。。。。。。
0040CD0D              60                 pushad     //跳到這里了，關(guān)鍵提示，繼續F8
0040CD0E              9C                 pushfd     //關(guān)鍵提示
0040CD0F              BE 00504000        mov esi,PEncrypt.00405000
0040CD14              8BFE               mov edi,esi
0040CD16              B9 00040000        mov ecx,400
0040CD1B              BB 2B11D2BB        mov ebx,BBD2112B
0040CD20              AD                 lods dword ptr ds:[esi]
0040CD21              33C3               xor eax,ebx
0040CD23              AB                 stos dword ptr es:[edi]
0040CD24            ^ E2 FA              loopd short PEncrypt.0040CD20       //要回跳了
0040CD26              9D                 popfd       //在這里F4，繼續F8，關(guān)鍵提示
0040CD27              61                 popad       //關(guān)鍵提示
0040CD28              BD CC104000        mov ebp,PEncrypt.004010CC     //看到這里了沒(méi)？004010CC
0040CD2D              FFE5               jmp ebp     //跳到OEP

。。。。。。。

004010CC              55                 push ebp           ; PEncrypt.004010CC //OEP，DUMP
004010CD              8BEC               mov ebp,esp
004010CF              83EC 44            sub esp,44

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
脫殼后發(fā)現程序不能運行,用Imprec修復引入函數表，在Oep處填10cc,點(diǎn)IT自動(dòng)搜索,然后點(diǎn)獲輸入信息,看到輸入表全部有效,點(diǎn)修復抓取文件按鈕,選擇Dump的文件,修復它,運行后仍然不能運行。那我們還有Lordpe重建PE的功能！

本站僅提供存儲服務(wù)，所有內容均由用戶(hù)發(fā)布，如發(fā)現有害或侵權內容，請點(diǎn)擊舉報。

欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久