|
脱壳修复流程 查壳(PEID、FI、PE-SCAN)--->寻找OEP(OD)--->脱壳/Dump(LordPE、PeDumper、OD自带的脱壳插件、PETools)--->修复(Import REConstructor) 压缩壳 和加密壳 还有不同的加壳工具
1 单步跟踪法 1.OD载入,不分析代码。
2.近CALL—F7,远CALL—F8,实现向下的跳转。 3.有回跳处,下一句代码处—F4 (右键—代码断点运行到所选) 4.大的跳转(大跨段,JMP***或JE***或RETN),很快就会到OEP
或者 详细点
手动脱壳基本方法:从OD载入软件程序后弹出是否分析对话框,点“否”,停在程序壳的入口(含有pushad等类似字符)。接下来我们的目的是要寻找第一个popad 。
(1) 首先按F8,接下来或近处便是CALL,此时的CALL或是离这里很近的CALL必须按F7,否则你就掉入陷井,后面遇到CALL一旦掉入也没关系,你先记下来,重新载入程序(按CTRL+F2),再遇到这个时就用F7进入。
(2) 出现往回跳转时,即红色线显示跳转实现,必须在下一行点左鍵,然后按F4步过,灰色为跳转未实现,可不理它照样F8。
(3) 其他全部F8,一路下去必定能找到第一个popad (关键),找到后离此不远必定有一个大的跳转,一旦跳转来到有push ebp字样,说明壳己走完到主程序(OEP),在此用OD插件→ollyDump→Dump debu…→Dump脱壳→保存。 2 最后一次异常法 1.OD打开—点选项—调试选项—去掉所有异常—CTRL+F2重载. 2.SHIFT+F9.只到程序运行,记下次数M 3.CTRL+F2重载—按SHIFT+F9(次数为M-1次) 4.按CTRL+G—输入OE右下角的SE句柄前的地址. 5.F2下断—SHIFT+F9到断点处. 6.去断按F8,到OEP. 3 模拟跟踪法 无暗桩情况下使用 1.F9试运行,跑起来就无SEH暗桩之类的,否则就有. 2.ALT+N打开内存镜像,找到包含“=sfx,imports reloco tions”字符 3.地址=*** 命令行输入:tceip<***,回车
4esp定律法
1.F8,观察OD右上角寄存器中ESP有没有实现(红色) 2.命令行下 DD or hr ******(当前代码ESP值),回车 3.DD就选中下端地址,断点—硬件访问—DWORD断点,F9运行,到跳转处按F8 到OEP
或者这样 使用od简单脱壳步骤:单步步过F8 寻找红色 ESP ——数据窗口中跟随-- 断点 硬件访问 word --运行程序F9 -- 单步步过F8 寻找 接入点 push EBP 查找ASCII值 脱壳成功 --od脱壳调试进程 完事 或者 单步步过F8 寻找红色 ESP 直接HR硬件断电 -运行程序F9 -- 单步步过F8 寻找 接入点 push EBP
5内存镜像法
1.OD载入软件 2.点选项—调试选项—忽略全部—CTRL+F2重载 3.ALT+N打开内存镜像,找程序第一个.rsrc—F2下断—SHIFT+F9运行到断点,再打开找到程序第一个.rsrc上面的.code处(就是00401000处),F2下断—SHIFT+F9或无异常按F9,到OEP
6 一步到OEP法
只适合少数壳,如UPX,ASPACK 1.CTRL+F—输入:POPAD.回车查找—F2下断—F9运行到此处. 2.来到大跳转处,点F8到OEP.
7SFX法
1.设置OD,忽略所有异常. 2.切换到SFX选项卡,选择“字节模式跟踪实际入口”,确定. 3.重载—“否”压缩代码,到OEP. 第一节 手脱EZIP 1.0 的壳 因为这个壳会修改PE头 用OD脱壳后即使修复了也不能运行。所以最简单的方法是采用 LordPE 这个工具脱壳。具体步骤: 首先,运行目标软件程序(不是用OD,而是想像平时使用一样,双击打开)→从 LordPE 列表中选中目标程序的进程→点”鼠标右键“ 选择”完整脱壳“。最后用 ImportREC 进行修复。 第二节 手脱wwpack 的壳 这个壳跟上面说的 EZIP 1.0 的壳一样,OD脱壳 ImportREC 进行修复 程序还是无法运行。所以还是要用 LordPE 进行脱壳工作。 具体步骤 : 从 LordPE 列表中选中目标程序的进程→点”鼠标右键“ 选择”完整脱壳“。最后用 ImportREC 进行修复 。发现还是不能运行! 最关键的地方到了:用 LordPE 这个软件自带的重建 PE 修复功能;重建PE头,重建后,即可运行! 第三节 手脱 UPX 壳的捷径 用我们已开始提到的”关键提示“。 具体操作:OD载入程序后,直接Ctrl+F,输入 POPAD ;点确定后 来到这个命令所在的位置。按F2,在这个地方下断;再按F9(运行);停止后,按F2取消刚才下的断点。再F8单步!
单步跟踪法的简单方法 第四节 手脱 ASPCK 的壳 脱这个壳用ESP定律,还是相对快捷的。可以用载入程序后,第二行(是一个CALL)那里面的ESP。 //多数程序这个壳的第二行都是一个CALL 在左OD左下角的命令行中,输入命令:hr ESP地址(如 hr 0012FFA4);F9 运行。然后从OD”调试菜单“中的”硬件断点“这一项将刚才下的断点删除,这点很重要!最后F8单步! 第五节 用 内存镜像法 手脱FSG 1.33 和 PCshrink 的壳 1、忽略所有异常 2、Alt+M 打开内存镜像,找到第一个 ”.rsrc“ 3、F2(下断),F9(运行) 4、Alt+M 打开内存镜像,找到”Code“段; 5、F2(下断),Shift+F9【这点一定要记住,切记是 Shift+F9】运行; 6、先按F8,再按下F4,直接到达OEP 第六节 手脱 JDpack 壳 和 PEpack 1.0 的壳 最简单的方法 脱这个壳推荐使用内存镜像法; 我在用ESP脱壳的时候发现:ESP定律的速度和单步跟踪的速度差不多,所以在这里就不推荐了。相反,脱 PEpack 1.0 壳 的时候,用ESP定律是最快捷的方法。 第七节 手脱 PEDiminisher ;Dxpack 0.86 ;32lite 0.03a ;PEtite 2.2 这几种壳的简单方法 脱PEDiminisher ;Dxpack 0.86 ;这两种壳的时候,直接用之前讲到的ESP定律,即可完美脱壳。命令:【hr ESP地址】 用ESP脱 32lite 0.03a 后 要注意的是,需要用 ImportREC 这个工具进行修复。如:00410D50 在输入框中输入 10D50 就可以了 【004舍去】 在用ESP定律脱 PEtite 2.2 的时候,推荐选择 Pushad 下面那行地址中的 ESP
第八节 手脱 Exestealth 2.72 的壳
看到这或许大家会沉迷与ESP定律当中,在这里提醒大家:Exestealth 2.72 的壳 用我们一开始提到的”懒方法脱壳“是最简单的;具体步骤,可以参考文章第二部分。
第九节 手脱nspack(北斗)1.3 的壳
1、ESP定律,命令:hr ESP地址 【脱壳后程序不能正常运行】 2、用 ImportREC 这个工具进行修复,修复后程序正常运行。
第十节 另类方法脱 ASPack 2.12R 壳的技巧
Ctrl+S 搜索:retn 0C【retn和零C 中间有个空格】 找到后向下看,如下: retn 0C push 0 //在 retn 0C 的下面 retn //在这个地方按 F2(下断) ;F9(运行) 停止后按 一下 F8(单步);再按一下 F7(跟进) 观看这看不懂?没关系,要是我,我也看不懂,所以我早有准备;详细步骤,如下(这是某程序的一部分): 程序中断后来到这里:
0046B3B8 C2 oc00 retn 0C //开始F8(单步) 0046B3B9 68 64584500 push registra.00455864 //这里调用来自 00455864 (OEP) 0046B3C0 C3 retn //F7(跟进) 步入到OEP 注意:这种壳ESP不能直接脱。
1.爆破
2.内存补丁
3.内存注册机
4.注册机、
crack方法:
1.查所有的参考文本字符串
2.查ASCⅡ码
3.利用其他的一些反汇编工具来查字符串
4.用DeDe等反编译工具找事件头
5.下API函数断点来找关键代码
6.F12暂停调用法
关键跳爆破方法:
1.把关键跳的比较NOP填充 2.对关键跳的比较直接修改 3.对标志位修改 4.修改比较跳过了关键跳 5.je改jne 6.把关键跳NOP填充
Delphi类程序的破解方法总结 方法一:(下断法) bp GetWindowTextW 或是 bp ShowWindow 方法二: (F12法) 方法三: (Delphi 铵扭入口特征码法) 740E8BD38B83????????FF93???????? 方法四: (DeDe 法) 重启验证程序是把注册码保存到注册表,利用注册表读取注册码,然后经过计算验证其正确性。 注册表重启验证 下断点 bpx RegQueryValueExA 对于易语言,其实一个万能断点是GetWindowTextA。因为系统会用这个函数进行其它的操作,所以有可能你在此设断时,并不是你要的东西。还有一个特点就是易语言好像喜欢用浮点运算。如果当程序注册失败时,出现注册失败提示的话,那么它就又暴露了一点,那就是MessageBoxA函数,也可在这个函数上设断。从这里会很容易的走到程序的领空,到了程序的领空我们就利用OD的字符分析插件,分析出很多程序的字符提示(我很偏爱它);等断在这里之后,看看堆栈区里,能发现很多有用的东西。 怎样寻找隐藏的字符串:F8单步向下走直到程序运行 找到使程序运行的那一行代码 F2下断点 重载程序后F9 运行到断点 F7跟进查找隐藏的字符串 遇到一个外挂OD载入之后直接关机...调试的时候最好用着 XueTr 这个软件。。里面有选项进制关机重启等功能 网络验证登陆型软件的破解 追踪过程:F8单步跟踪,直到程序运行。 记程序跑飞前单步过的CALL,修改次CALL上面的跳转。 c++和dephin 可以通过直接查找字符串 ASCII来寻找关键位置 重启验证的程序 通过字符串,可以找到关键位置: OD断点,bp 自校验 去除弹网页 bp ShellExecuteA 去除灰色按钮 bp EnableWindow OD快捷键
Ctrl+F9 运行至retn (一般到了retn之后接上F7返回) Alt+F9 运行至上层调用的下句,执行直到返回到用户代码段 Shift+F9 忽略异常运行 1.PUSHAD (压栈) 代表程序的入口点 2.POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个,说明OEP可能就在附近 3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP), 只要我们找到程序真正的OEP,就可以立刻脱壳。 对付那些Anti-Debug程序.先运行程序,再运行od,文件-->附加. 1.使用ImportREC修复脱壳软件的大体操作步骤为:
(1)选择进程,可以使用OD正在调试产生的进程,也可以直接运行程序的进程。
(2)手工修改OEP为OD查到的OEP,然后点击“自动查找IAT”按钮
(3)点击“获取输入表”按钮,查看大窗口中有无效的指针
(4)如果全部有效,则可以直接点击“修复转储文件”按钮,在弹出对话框中选择要修复的文件即可。生成的带“_”的文件,即为修复后的文件。
(5)如果有无效的,则点击“查看无效的”按钮,在大对话框里阴影上右键,用相应的跟踪级别进行修复。常用的为级别一和级别三。在用级别三时,容易使程序停止相应,解决方法为:(1)直接打开运行程序,然后附加该程序,而不是OD调试中的进程;(2)用shift键一次选中几个指针,而不是全部选中后修复。
(6)此外,还可以手工修复指针:右键中,选择“反汇编/十六进制“查看菜单项,查看指针所属模块,和指针对应的API,之后,在指针上左键单击,在弹出的对话框中进行选择模块和API即可。
注:有些壳的指针不能修复,直接剪切掉即可,修复了反而不能运行,如穿山甲。
(7)如果修复指针过程中出现了程序被终止等异常情况,可以用“保存树文件“按钮,保存工作进度;待重新附加进程后再“载入树文件”继续操作。
(8)LordPE还有一些插件跟踪,可以搜集插件供使用。
(9)注意:有时RVA和大小两个地方也需要修改,如果修复后程序仍然不能运行,应往这方向考虑。其特点是查找到的指针个数非常少,程序中出现的一些指针未在指针列表中出现。此时应在数据窗口中右键,找到程序指针所在的区域,指针区的首部即是RVA,指针区的大小即为此处大小,之后“获取输入表”,剪出无效的指针,再“转储修复程序”。 2.附加数据
如果程序在脱壳修复后仍然不能运行,比如出现unvalid data或非法数据之类的提示的话,有可能是程序中存在附加数据。其修复方法为:
用winhex等软件十六进制打开程序,从末尾开始向上查找全零的位置,从此处开始到最后即为附加数据,我们需要把这些附加数据附加到破解后的程序后面即可。方法为选中后的复制粘贴。
查找该附加位置也可以有更方便的方法,就是用LordPE的PE编辑器打开加壳程序--区段--这个时候大家可以看到程序的区段了--我们就选择最后的那个区段--现在开始计算附加数据的首部:附加数据的首部==最后一个区段的ROffset+最后一个区段的RSize 3.程序自校验
如果脱壳后程序打开后自关闭,则有可能程序有自校验功能。自校验的程序一般会检查程序的类型、大小、创建日期、CRC值等。解除的方法就是:开两个OD,分别装载原程序和脱壳后的程序,从找到的OEP开始,单步调试,寻找其不一样的跳转位置,进行修改。
为了更快的找到不同的地方,可以在两个OD中都首先下断bp CreateFileA,中断后都Alt+F9返回!CreateFileA是检测文件的API,可能有多个中断位置,注意看堆栈中是否出现该函数,以找到正确位置。如下图
4.程序暗桩
程序脱壳修复后无法运行,还可能是因为程序在入口点之后存在暗桩,比如INT 13。载入修复后的程序(当然它是无法运行的)F9运行发现了“莫名其妙”的异常了。(为什么是莫名其妙的异常?因为我已经忽略了所有的异常,好的,那我们就NOP掉他吧~~~保存!再打开看看~~OK了,可以运行~~
5.程序可运行,但点击某按钮等操作时提示错误()
异常设置:忽略除了内存访问异常之外的所有异常。
载入程序---F9运行---点击错误位置---OD停在出错位置---修改代码保存 暴力破解中需要了解的汇编命令: 1)比较语句,很简单只有一句
cmp
a,b
// 比较a与b。
什么叫做“ 比较a与b”呢?假设现在: a=1,b=2 那么执行了“cmp
a,b”后,程序就会把 1与2进行比较
2)跳转语句:难点,这一类语句所包含的对象比较多,一一来做以说明:
1) je或jz
// 相等则跳(机器码是74或84)
意思就是:如果a与b中的值相等,程序就会跳向指定的地址去执行 2) jne或jnz
// 不相等则跳(机器码是75或85) 意思与上一语句恰恰相反:如果a与b中的值不相等,程序就会跳向指定的地址去执行 cmp a,b Je 12345678 Jne 87654321 3)jmp
// 无条件跳(机器码是EB) 这个跳转语句比较“霸道”。不论什么情况,只要遇到它程序就会跳向指定的地址去执行 cmp a,b JMP 56789012
4) jb // 若小于则跳
这个语句的意思是:如果a中的值小于b中的值,程序就会跳向指定的地方去执行与它对应的语句
5)ja
// 若大于则跳。意义刚好相反 这个语句的意思是:如果a中的值大于b中的值,程序就会跳向指定的地方去执行与它对应的语句
| 
[复制链接]
发表于 2011-12-20 20:05
