小白初学脱壳目前遇到问题及解决方法,如果不因为考研影响应该会一直更吧2017
本帖最后由 执一呀 于 2019-1-21 18:09 编辑2019年1月21日18:08:05xiaomo教程正式完结
正在练习ximo早起发的脱壳基础
楼主没有任何ASM PE经验
第一课:脱UPX壳 利用OD俩方式进行脱壳之后程序无法正常运行 当时是说程序无法找到入口一类的,
百度看得脑壳痛,自己试了一下IMPortREC修复美滋滋成功
\\\\\个人感觉问题:和系统有关 千万别去百度下载说明user32.dll然后替换,我换了之后电脑GG,结果问题没解决
https://static.52pojie.cn/static/image/hrline/2.gifhttps://static.52pojie.cn/static/image/hrline/2.gif
第二天 脱ASPack壳 这个很简单总的来说 ESP方法蛮好用的 大体写一下步骤
https://jingyan.baidu.com/article/7e440953dc0f6e2fc0e2ef00.html]如何在右键添加菜单方便你打开Peid 和OD
[*] peid 差壳
[*]软件拖入OD
[*]单步一下(F8) 看右侧那个ESP那块变色了右键 数据窗口跟随
[*]有没有看到你的左下角变化了 ,有就对了,在数值哪里右键断点 (那个数值都行,亲测) 硬件访问word 运行一下
[*]之后删除断点(我没删除最后也找到了OEP,但是视频xiaomo是删除的)
[*]单步,单步 单步只向下不要向上
[*]之后你会看到popad出栈啦,
[*]继续单步 你就找到了OEP 12D4
https://static.52pojie.cn/static/image/hrline/line4.png
[*]用方式1,2,lordpe 脱了她 ,她的果体原来是VB呀
[*]事实证明xiaomo的教程真的老了,继续importREC修复吧
[*]修复完成脱壳完成美滋滋
@Hmily 艾特大佬 有没有教程 教这么排版呀 不会发帖
https://static.52pojie.cn/static/image/hrline/5.gifhttps://static.52pojie.cn/static/image/hrline/5.gif
遇到FSG的问题,看图,我看xiaomo没有问题直接跳到OEP看论坛里面的说法是删除分析 ,但是依然没有直接到达OEP
希望审查大佬看到回复一下 Thanks♪(・ω・)ノ 目前百度没有解决
遇到问题日期:2018年11月18日
问题没有解决 如果调出的请@执一呀谢谢
重点 修复IAT 此方法是软件修复不可用后用此方法
[*]找call 记下跳转地址
[*]输入 d 跳转地址 回车
[*]在数据窗口鼠标拉倒最上面和最下面也就是数值(注释)为0(空)的地方 记下地址
[*]打开ImportREC 数据OEP RVA是最上面的地址大小是最下面地址减最上面地址,为了省事 可以填写1K
[*]然后老规矩修复即可
问题解决 OD方式一修复之后无法使用出现该内存不能read
经测试方式二和LordPE 脱壳之后经过IAT修复都可以使用
2018年11月22日
https://static.52pojie.cn/static/image/hrline/1.gif
2018年11月24日
PECompact2.x
主要说一下最后一次异常法
我按照视频里面取消所有异常之后,视频里面是俩次运行之后程序跑飞
在2-1次后 观察右下角找到SE 句柄之后转到SE地址C+G 输入地址也可以
se句柄地址就是0045DE74
程序一开始第一句代码
0040A86D >B8 74DE4500 mov eax,qqspirit.0045DE74
有一种方法 bp 0045DE74回车 S+F9取断
遇到retn尝试断点跳过,看程序是否跑飞,跑飞不跳,不跑飞跳一下
单步之后进入OEP 脱壳
终于知道LordPE 作用了
介绍一下ImportREC和LordPE组合技
notepad 脱完壳,IP修复无法打开,LP里面PE重建也不能打开
我们选择先重建PE加IP修复 完美
https://static.52pojie.cn/static/image/hrline/2.gif
201812.2
EZIPz这个壳直接ESP定律解决没有任何技术难度,最多ImpactREC修复一下
TELock0.98b1壳
我很奇怪一直永不了最后一次异常法 不知道为什么在虚拟机也一样
两次内存镜像也用不了 很他妈奇怪
俩次内存直接已停止 单步单步最后陷入循环感觉他妈让作者玩了
问题解决方法:
xiaomo 的手脱TELock0.98b1壳 按照教程无法脱壳
https://www.52pojie.cn/thread-834967-1-1.html
附加数据那块 就是算一下实际地址与偏移一直的和用来在HEX WORKSHOP 快速找到overlay区段
然后就是软件的应用了
自效验就是脱壳程序与源程序(已找到OEP) 一起单步找不同
这里需要看懂汇编代码就可以修复问题了
软件汉化实质也就是 脱壳 之后用一些软件修改
手脱ASpack 变形壳 这里主要是 再复杂的程序 载入OD 及时反复跳转 用最后一次异常法思路 ,既然程序能运行,那么肯定又一次能跳出去.
长时间没看今天偶然看了一下 成功把小莫哪里脱壳成功 附上 隐藏Od插件 记得把doc改成dll这是独立团的插件
具体过程和小莫类似
取消内存异常 ,
之后俩次出现异常
运行一次堆栈窗口找SE句柄 (Se处理程序) 数据窗口跟随
内SE句柄数据下内存访问断点(大概意思是一般断点断不住)
之后运行下段
运行下段
一直到看到retn
点B删除所有断点包括内存访问断点
在retn f4
之后点击 M 找到00401000 下段运行
直接OEP
分析; 内存访问断点哪里我也不太懂之后那几步也不懂现在对壳的理解就是位于OEP之前的一段迷宫 正常运行的程序是可以到出口的
但是一旦我们自己把程序拖入OD去调试就想是在找路找跳转 找retn 找push push是压入
附上;
OEP大全
https://www.52pojie.cn/thread-843072-1-1.html
(出处: 吾爱破解论坛)
https://static.52pojie.cn/static/image/hrline/1.gif
https://static.52pojie.cn/static/image/hrline/4.gif
2018 12 27
18、ACProtect之寻找丢失的Stolen Code
我记得最深刻就是 d 12ffc0 这个断点 具体为什么我也不清楚,他说是个死穴。
说一下关键点吧:
前几步都是下内存访问断电,找到假OEP ,将12ffc0 这个断点出的真OEP Bin复制,去00401000 断点运行,分析代码,否则会乱,向上找五个字节,二进制粘贴,修复。一气呵成。
运行发现有错误,原来是入口点有问题,然后Od程序,改代码,我们希望载入OD的那一块是OEP,但是由于壳的保护,没能正确的调到是程序正常运行的入口点出,我们JMp强制跳转,但是发现没吊用,之后用LOrdPE更改了入口点才可以。
xiaann 发表于 2018-11-16 12:01
刚开始学 请问楼主用的谁的入门呢 该从哪里开始看
xiaomo的视频讲脱壳,但是视频已经很久远了,有些程序win7打不开,然后是官方视频 跌宕起伏 发表于 2018-11-16 12:18
od自带脱壳,只适用于小部分,尽量使用修复程序脱壳。
对,一般程序无法运行就importrec一下,解决不了在想其他办法,手动修复搞不了 刚开始学 请问楼主用的谁的入门呢 该从哪里开始看 od自带脱壳,只适用于小部分,尽量使用修复程序脱壳。 学习一下!! 刚开始学 先马克一下 楼主做这个入门大概多久啊 小小怪将军 发表于 2018-11-16 22:16
楼主做这个入门大概多久啊
不知道,我也是刚开始学习,学一点遇到问题更一点,
楼主什么专业的?准备考哪里?
页:
[1]
2