学习脱壳总结1
学习脱壳总结一学脱壳的用途[*]免杀制作
[*]程序个性化定制
[*]收费软件的破解
二脱壳工具介绍1 .查壳工具
[*]peid: pe identifier简称,具有gui界面.
[*]fileInfo:简称fi,cui程序
[*]PE-SCAN
2.脱壳工具
[*] OD自带脱壳插件
鼠标右键菜单,选择"Dump debugged process"->设置Entry Point->点击"Dump"
[*]LordPE
LordPE进程列表中选择目标进程->鼠标右键菜单,选择"完整脱壳";3.修复软件
[*]Import REConstructor
操作:选择"获取系统中的进程"->设置"OEP"->点击"自动搜索IAT"->点击"获取输入表"->点击"显示无效函数"->选择"修复抓取文件";修复后名字会加一个"_",如abc_.exe
三.脱壳步骤
[*]查壳
使用PEID, PE-SCAN等查壳工具查壳
[*]查找OEP
使用OLLYDBG跟踪调试找到OEP
[*]脱壳
右键使用OLLYDBG自带的脱壳插件
[*]修复
脱下的程序如果不能执行,使用Import ReConstructor工具修复
参考:章鱼宝的脱壳教程系列
lee8 发表于 2016-9-9 13:19
寻找程序入口点的总体思想是什么?
我还没去总结,先摘用一段别人总结的
1.单步往前走,不要让程序向上走,遇到向上跳时,在下一句按F4,运行到所选.
2.刚载入程序,在附近就call时,我们按F7跟进去.
3.若跟踪时,运行某个call程序就运行时,这个call也用F7进入.
4.在跟踪时,出现比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN同时发生大跨段跳转时,说明很快就到OEP了.
dachuan 发表于 2016-9-2 21:41
脱壳工具有点不是很清楚啊
就知道PE 别的还不知道
是的,win x86下加壳就是修改PE文件在,EP代码中执行解码,解码后再将IP设置成OEP.
ps:
IP:instruction pointer
EP: Entry point
OEP:Original Entry Point 你学会了吗? 期待后面的2、3、4。。。 表示还不会。。。 不错不错,基础还是理解的不错 要一步一步来 太简单了。 脱壳工具有点不是很清楚啊
就知道PE 别的还不知道 whyida 发表于 2016-9-2 20:52
太简单了。
不好意思,水平有限,只是个简单总结。
后期会再次更新。