脱壳经验4 ----脱壳不忘初心 大神绕道
这些是基础的在这里和大家说一下 小白最后打包收藏一下 因为有的同学看视频的时候有时候不懂作者讲啥在这里分享pushad(压栈) 代表程序的入口点
popad(出栈) 代表程序的出口点一般OEP就在附近
OEP 是程序的入口点软件加壳就是隐藏了OEP(或者用了假的OEP/FOEP)只要我们找到程序真正的OEP就可以脱壳
F2——下断点 F3——加载程序F4——就是鼠标右键的运行到鼠标指定位置 F7——进入call F8——跳过call
F9——运行 空格——修改代码 ctrl+f——命令xxx ctrl——跳转到某某地址 ctrl+b——查找二进制字符串
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
插件使用:直接把dll插件放在plugin中,重启即可生效
中文搜索:需要CHSseach.dll插件
复制全部修改:需要advancedolly.dll插件
载入程序:运行中的程序要选择附加,未运行的要选择打开
查找可能字串:右键->查找->所有参考文本字串,包括变量名哦
内存断点:至多1个,重载失效,右键->断点->内存写入(删除……)
硬件断点:至多4个,硬件执行
找call:3-4次ALT+F9即可回到程序领空
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
PU:反汇编窗口,80%的操作在这里进行(ALT+C)
MemoryMap:内存窗口,操作内存,修改与搜索等(ALT+M)
Breakpoints:断点窗口,查看所有下过的断点(ALT+B)
ExecModules:可执行模块窗口,查看所有调用过的系统dll(ALT+E)
插件路径:《界面选项》->《目录》
复制全部修改:在advancedolly插件中的修正错误里勾选 很有用谢谢楼主分享 感谢楼主分享! 不好意思哈我也是看到了 觉得有用才分享给你们的 不喜欢可以不看 喜欢的收藏保存 有错的麻烦指出错的地方 前排沙发,谢谢楼主分享 谢谢楼主分享 66666{:301_999:} 我们需要学习的是最基础的东西,要知道这样做的原因,要不你推荐书给我们看吧。 谢谢楼主分享 upx壳用它非常方便 楼主威武,拿去学习下,谢谢 谢谢,学习中。