【求教】 第一课的例子中aspack壳脱不掉了
aspack脱壳的一个问题根据@沉默的羔羊大大的一篇文章(http://www.52pojie.cn/thread-23316-1-1.html)中提到的手脱方法遇到点问题
文章中是这样说的
“3、 手动脱壳基本方法:从OD载入软件程序后弹出是否分析对话框,点“否”,停在程序壳的入口(含有pushad等类似字符)。接下来我们的目的是要寻找第一个popad 。
(1) 首先按F8,接下来或近处便是CALL,此时的CALL或是离这里很近的CALL必须按F7,否则你就掉入陷井,后面遇到CALL一旦掉入也没关系,你先记下来,重新载入程序(按CTRL+F2),再遇到这个时就用F7进入。
(2) 出现往回跳转时,即红色线显示跳转实现,必须在下一行点左鍵,然后按F4步过,灰色为跳转未实现,可不理它照样F8。
(3) 其他全部F8,一路下去必定能找到第一个popad,找到后离此不远必定有一个大的跳转,一旦跳转来到有push ebp字样,说明壳己走完到主程序(OEP),在此用OD插件→ollyDump→Dump debu…→Dump脱壳→保存。”
然后遇见往回跳转的指令,如下图
然后我就在下一行点左键,按F4,但是后面F8不能按了,OD停了,程序也打开了
咋回事,求指教{:17_1082:}
建议看ximo脱壳基础,那个会更为适合刚入门的童鞋观看,我也在看,感觉很好,aspack壳的关键popad后面一般都会有retn这个大跳的 ASPACK 用ESP定律脱 或者Ctrl+s 搜popadF2下断 F9运行到 然后F8几次就到OEP了。 中间的JE有大跳转,跳到OEP 我跟你说这些简单的压缩壳子载入OD就就往下拉找最后一个jmp后面全是0000000没有代码了然后右键跟随那个jmp就跳到oep了 我记得是近callF7
远callF8
回跳F4
页:
[1]