手脱ASPack/UPX/北斗壳
本帖最后由 错过了一个亿 于 2020-2-14 19:11 编辑需要的工具:吾爱破解专用OllyDebug(汉化+美化+过检测),虚拟机(为了防止被格盘),加了壳的程序,PEiD(查壳)
工具下载:
吾爱破解专用OllyDebug下载
PEiD下载
虚拟机文件下载:
360网盘(推荐):https://yunpan.360.cn/surl_yrj3q8K4YCU 密码:0c3a
腾讯微云:https://share.weiyun.com/d606513b540c6cf69a5ac5210af58079 密码:6g35hh
百度网盘:https://pan.baidu.com/s/1bpVvghp 密码:wyzi
虚拟机程序下载:
链接:https://pan.baidu.com/s/1RCNLnu-t30zP2H6gDfFpPA
提取码:8p5v
虚拟机序列号:5A02H-AU243-TZJ49-GTC7K-3C61N
破解壳嘛,肯定要先查壳
一看,原来是UPX
那么,接下来,很简单。先运行“吾爱破解专用版Ollydbg”里的“路径修复工具.exe”
然后打开“吾爱破解.exe”最后,按下F3,打开16进制转换器.exe
跟着,看看打开的界面是不是这样的?
开始破解!
ESP定律法(ASPack/UPX/北斗)
1.先按F8,跟着看看寄存器(右边的窗口)
当出现图中的情况时,就不要按F8!就是只有ESP和EIP为红色的时候
2.下面的命令窗口中输入“dd ESP的值”,然后按Enter
3.在数据窗口,找到地址为ESP值的那一行,左键单击,右键单击,选择断点->硬件访问->Word
完成了之后,按F9运行,结果如图
4.快捷菜单->硬件断点->删除
5.跟着按F8,遇到向上跳转在它的下一行按F4
遇到那个jmp就要注意了,鼠标点一点看看
从00407FEB跳到0040139,是一个很大跨度的跳转
按F8跳转,结果如图
6. 右键单击,用OllyDump脱壳调试进程->脱壳
7. 验证
极速法(UPX)
1.按下Ctrl+B,在HEX处输入00 00 00 00 00 00 00 00
记得不要勾选“整个块”
结果如图
2.选中上面的lea,按下F2,再按F9,接下来按照ESP定律法5.-7.完成脱壳 最近打算再出新的脱壳方法 看来要在虚拟机里面搞,免得出啥问题要重装 学习了,在虚拟机里面操作安全些:lol 学习学习 不错不错 顶 :handshake 学习了,致敬大神!非常实用 简单易懂,谢谢。学习中。 我手脱只敢在虚拟机里脱 支持学习 我记得吾爱自带脚本就有脱壳的,但是我一用就跑飞,不知道啥情况 感谢分享!