吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 5884|回复: 31
收起左侧

[原创] 脱壳(初学)-- 手脱UPX壳及一点疑问

  [复制链接]
無涯 发表于 2015-3-21 08:58
本帖最后由 無涯 于 2015-3-21 09:01 编辑

前辈们说得好,脱壳要多动手,要有耐心,今天刚刚看完ximo得脱壳教程第一个,打铁趁热,动手实践一下,顺便提几个疑问

疑问1:如果在peid查不出壳的情况下要怎么处理,壳不可能一成不变的,我学的这些壳估计在现实场合不会遇到吧???

疑问2:这里在数据窗口下端是什么原理(这个我之后慢慢百度吧,好像之前有看到过)

疑问3:这个是教程里的例子,我知道这里是OEP,如果换做其他程序,我怎么判断这个时候到达了程序入口呢,程序入口有什么特征


步骤一:查壳

0.png

这个是教程提供的加了UPX壳的软件

疑问1:如果在peid查不出壳的情况下要怎么处理,壳不可能一成不变的,我学的这些壳估计在现实场合不会遇到吧???


步骤二:加载程序,寻找OEP(我这里偷下懒,使用ESP定律法,快速定位OEP了)

1、如下图,pushad是关键句,保存寄存器,保存环境(我记得是这样)

1.png

2、F8单步走,这时ESP突变,如下图的右边寄存器窗口,ESP显示为红色,我们在这里点击右键,选中 在数据窗口跟随

疑问2:这里在数据窗口下端是什么原理(这个我之后慢慢百度吧,好像之前有看到过)

2.png

3、接着如下图,在数据窗口中下断点(图3-1), 然后点击运行到断点(图3-2),中断下来后选中菜单栏中的调试,选中硬件断点,先删除断点,(图3-3)

3.png

图3-1

4.png

图3-2

5.png

图3-3

4、如图3-2,我们看到这里地址从005791EF 将 jmp 0047738C这是一个大的跳转,说明很可能是跳转到入口地址啦,单步F8,程序已经到达OEP,接下来就是脱壳,脱壳就不截图啦

6.png

疑问3:这个是教程里的例子,我知道这里是OEP,如果换做其他程序,不一定大跳转后就是OEP的吧,我怎么判断这个时候到达了程序入口呢,程序入口有什么特征


还请路过的大神们耐心解答,谢谢!!!如果有什么说得不对的地方希望提出来,我会及时更改!

如果图片打不开的话,请转到http://blog.csdn.net/keweidong888/article/details/44507733#comments 如有违规行为望告知,我会及时更改

免费评分

参与人数 1热心值 +1 收起 理由
KingMe + 1 一般这种壳只要大跳基本上都是OEP

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| 無涯 发表于 2015-3-21 11:28
Vision丶 发表于 2015-3-21 11:24
well done!!支持一下楼主

谢谢!!!希望以后多多指教!!
 楼主| 無涯 发表于 2015-3-21 11:27
D丶邪神 发表于 2015-3-21 11:11
嗯嗯,学语言学的我晕,只能学学这个了。

不不不不,编程语言还是要掌握的,不能怕难,凡是不要太急,你现在在学什么言语~
 楼主| 無涯 发表于 2015-3-21 11:24
pp775852100a 发表于 2015-3-21 11:21
就一个教程反复看了好几遍了,不看教程拿附件自己动手很快搞定,但是只是会这个附件的,自己动手去拿其他的 ...

脱壳破解要一步步来,步子跨太大,容易扯着蛋!!不急 先从容易的做起
 楼主| 無涯 发表于 2015-3-21 11:23

这是一般教程第一课,不用谢!!我只是搬运工 哈哈!!
ollydebug 发表于 2015-3-21 09:04
esp定律一般只能对付压缩壳,而压缩壳大跳转后一般都是oep
 楼主| 無涯 发表于 2015-3-21 09:02
新人第一次发帖,希望多给点鼓励,批评的话尽量委婉点,谢谢
哈哈!!!
wu0687050 发表于 2015-3-21 09:09
刚开始学不要问那么多,把你的疑问存在心里。
你如果一直抱着疑问,那你会发现你学不下去的,因为问题很多。
不过通过你越学越多,你慢慢就会了。 破解有时候很大一部分是经验。

点评

我很赞同  发表于 2015-3-21 09:14
吾爱T阿杰 发表于 2015-3-21 09:43
查不到    可以看ep区段
wgz001 发表于 2015-3-21 09:51
五种常用语言的OEP特征
http://www.52pojie.cn/thread-139728-1-1.html
(出处: 吾爱破解论坛)
楼主参考下这个
 楼主| 無涯 发表于 2015-3-21 09:55
吾爱T阿杰 发表于 2015-3-21 09:43
查不到    可以看ep区段

先谢谢你耐心的解答,但我还是不是很明白,如果ep字段也看不出来呢? 还有 如何判断程序已经到达oep??
 楼主| 無涯 发表于 2015-3-21 10:01
ollydebug 发表于 2015-3-21 09:04
esp定律一般只能对付压缩壳,而压缩壳大跳转后一般都是oep

哦,知道了~谢谢!!!  
能不能说一下oep要怎么判断?没有规律的吗?

点评

有规律的  发表于 2015-3-21 10:13
 楼主| 無涯 发表于 2015-3-21 10:04
wgz001 发表于 2015-3-21 09:51
五种常用语言的OEP特征
http://www.52pojie.cn/thread-139728-1-1.html
(出处: 吾爱破解论坛)

恩恩,谢谢大大!!!非常感谢!!!
 楼主| 無涯 发表于 2015-3-21 10:07
wu0687050 发表于 2015-3-21 09:09
刚开始学不要问那么多,把你的疑问存在心里。
你如果一直抱着疑问,那你会发现你学不下去的,因为问题很多 ...

恩恩,谢谢大大的指导!你的意思是不是想把疑问放一放,往后学,以后回头看的时候就会明白了!
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-25 12:24

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表