诗意人生 发表于 2011-1-20 13:06

菜鸟起步一 UPX脱壳笔记

本帖最后由 诗意人生 于 2011-1-20 14:06 编辑

昨天玩了一天 也就迷茫了 总得干点什么
于是想起了向往已久的破解
我属于完全不懂的小白 莫见笑……
建议大家看个帖子 http://www.52pojie.cn/thread-23316-1-1.html
其实道理都是共同的 先熟悉下工具 起码要知道OD的那些插件的功能(最好在实践中记忆,两不误)
佛家有言 信 愿 行 我的信来自于论坛的N多大牛的破解 愿来自于不想无聊 行可以很好的促进或者抑制愿和信
废话不说啦 进正题
调试工具是PEID和OD
工具:小生我怕怕工具包http://www.52pojie.cn/thread-49253-1-1.html
USP教程下载http://www.rayfile.com/zh-cn/files/c485fdeb-320b-11de-a220-0019d11a795f/
思路
1 找到第一个POPAD 以及下面的大幅度跳转语句
2 找到后 进行脱壳
1 的方法有4种 单步跟踪 ESP定律法 2次内存镜像法 一步直达法
2 脱壳方法 OD插件方式一 OD插件方式二 LOADPE

下面关于1的笔记
单步跟踪   (阻止向上跳转,放过向下跳转)
   Pushad 进寨F4断点 F8单步 下过上断 其他不管 要是跳转 下一语断
   POPAD出寨   大跨度跳转 为真正的程序入口点
   灰色的线为不成功的跳转 红色的线有上下之分 下的不断点 上的断点
ESP定律法ESP寄存器
    进入时看到PUSHAD F8下一语句 在寄存器窗口 找到ESP值0012FFA4 右击 在数据窗口跟随   左下角 右击第一个数据 断点 设置硬   件   访问断点 WORD/DWORD运行 出现入口点 继续F8
2次内存镜像法M.rsrc    说实话这里我有点不明白 为什么第二次断点要断在那里
一步直达法绝大部分的Upx aspack壳 适用
右击 查找 命令 输入 POPAD 不点整个段块 回车 F2 运行 F2 F8
下面关于2脱壳的方法
OD插件方式一 OD插件方式二   这两个很简单不讲啦
LOADPE修正镜像大小 完整转存 下面的工具 填入OEP自动查找IAT 获取输入表 查看是否有效 修复转存文件

最好先把上面的视频教程下载下来 我这里的只是一个笔记总结 大家看完那个教程后就知道我上面的笔记不是废话
顺便给大家个试手软件
还是暗组扣来的= =#
直接给链接 你懂的。http://dl.dbank.com/c0ahbfezp0
脱壳后的大小为1.12Mb

权限= =#
还是不能上图。。。。

yoanhk 发表于 2011-1-20 13:25

不错,我也菜鸟,很多东西都很茫然

huangshaojian 发表于 2011-1-20 13:45

看不明白

诗意人生 发表于 2011-1-20 14:20

大家都小白 我给个建议 先把虚拟机玩熟 或者下个Shadow Defender 小生我怕怕工具包中的OD要熟悉熟悉
不扯淡啦 得背书了

yjd333 发表于 2011-1-21 02:05

本帖最后由 yjd333 于 2011-1-21 02:05 编辑

可见楼主是个爱学习的好同志。。
起码懂得找资料学习,找资源up
Bs下那帮伸手党。。

y123456789 发表于 2011-2-2 19:17

谢谢了。我学习了哈!·

最近在研究upx哈!·

Rainbar 发表于 2011-2-3 01:31

学习下......

yu00815 发表于 2011-2-3 01:34

一般两次内存断点就行了吧?

老海 发表于 2011-2-3 07:45

UPX压缩壳是比较容易脱的,新手最好从这些简单的壳练起。

5109122 发表于 2011-2-3 16:21

学习中谢谢
页: [1] 2
查看完整版本: 菜鸟起步一 UPX脱壳笔记