【吾爱破解】脱壳的百科全书 9.2晚 - 二次内存镜像法 SFX跟踪法 最后一次异常法

wzxkk123

我把图片内容都搬到了楼层当中 大家点击链接就可以跳到相应的楼层~ 这样更整洁美观哦！



如果帮到你 记得给热心和吾爱币哦！

目录：




可以按Ctrl+F来搜索你想要的内容哦！



.什么是壳（http://www.52pojie.cn/thread-391498-1-1.html）

☆壳分为压缩壳用来减小体积 加密壳用来加密数据 更多请见链接



.程序是怎么跑起来的呢？（http://www.52pojie.cn/thread-393034-1-1.html）


☆带你了解程序的运行顺序 详情见链接



.常用的汇编命令（先来接触一下汇编：http://www.52pojie.cn/thread-396193-1-1.html）
1.MOV 传送字或字节.
2.MOVSX 先符号扩展,再传送.
3.MOVZX 先零扩展,再传送.
4.PUSH 把字压入堆栈.
5.POP 把字弹出堆栈.
6.PUSHA 把AX,CX,DX,BX,SP,BP,SI,DI依次压入堆栈.
7.POPA 把DI,SI,BP,SP,BX,DX,CX,AX依次弹出堆栈.
8.JMP 无条件转移指令
9.CALL 过程调用
10.RET/RETF过程返回.
11.2>条件转移指令 (短转移,-128到+127的距离内)
( 当且仅当(SF XOR OF)=1时,OP1<OP2 )
12.JA/JNBE 不小于或不等于时转移.
13.JAE/JNB 大于或等于转移.
14.JB/JNAE 小于转移.
15.JBE/JNA 小于或等于转移.
以上四条,测试无符号整数运算的结果(标志C和Z).
16.JG/JNLE 大于转移.
17.JGE/JNL 大于或等于转移.
18.JL/JNGE 小于转移.
19.JLE/JNG 小于或等于转移.
以上四条,测试带符号整数运算的结果(标志S,O和Z).
20.JE/JZ 等于转移.
21.JNE/JNZ 不等于时转移.
22.JC 有进位时转移.
23.JNC 无进位时转移.
24JNO 不溢出时转移.
25.JNP/JPO 奇偶性为奇数时转移.
26.JNS 符号位为 "0" 时转移.
27.JO 溢出转移.
28.JP/JPE 奇偶性为偶数时转移.
29.JS 符号位为 "1" 时转移.
30.3>循环控制指令(短转移)
31.LOOP CX不为零时循环.
32.LOOPE/LOOPZ CX不为零且标志Z=1时循环.
33.LOOPNE/LOOPNZ CX不为零且标志Z=0时循环.
34.JCXZ CX为零时转移.
35.JECXZ ECX为零时转移.
更多（http://www.52pojie.cn/thread-384339-1-2.html）

.查壳的方法


1.Exeinfo查壳

2.PEID 查壳

图例教程：http://www.52pojie.cn/forum.php?mod=redirect&goto=findpost&ptid=396184&pid=9656394 (“报纸”楼 就在这页)

.查找OEP入口的方法（内容：包括多种技巧性、逻辑性的脱壳方法）

☆我们以UPX的壳为例

1.我们可以利用它的一些特征 就是在最后一个JMP跳转入OEP
利用特征来找OEP 图例教程：http://www.52pojie.cn/forum.php?mod=redirect&goto=findpost&ptid=396184&pid=9791663 (212楼)

2.UPX会中间有很多JMP 向下寻找非常麻烦 我可以直接这样 利用它的特性 来找到JMP到OEP的地方
图例教程：http://www.52pojie.cn/forum.php?mod=redirect&goto=findpost&ptid=396184&pid=9791769 (213楼)


3.ESP定律（ESP定律的原理：http://www.52pojie.cn/thread-394116-1-1.html）
图例教程：http://www.52pojie.cn/forum.php?mod=redirect&goto=findpost&ptid=396184&pid=9791824 (214楼)

4.两次内存镜像法（两次内存镜像法的原理：http://www.52pojie.cn/thread-396947-1-1.html）
图例教程：http://www.52pojie.cn/forum.php?mod=redirect&goto=findpost&ptid=396184&pid=9992513（382楼）

5.SFX跟踪法
图例教程： http://www.52pojie.cn/forum.php?mod=redirect&goto=findpost&ptid=396184&pid=9992498 （381楼）



6.最后一次异常法（比较简单 所以图例也比价简单）
图例教程：http://www.52pojie.cn/forum.php?mod=redirect&goto=findpost&ptid=396184&pid=9992482 （380楼）

.脱壳的方法（按照上面的步骤找到OEP后）

☆总体上就是转存 然后修复

1.首先LordPE转存 然后用ImportREC来修复图例教程：http://www.52pojie.cn/forum.php?mod=redirect&goto=findpost&ptid=396184&pid=9793202 (219楼)

2.Scylla（这个算是LordPE和ImportREC的整合版）
图例教程：http://www.52pojie.cn/forum.php?mod=redirect&goto=findpost&ptid=396184&pid=9793218 (220楼)

3.用脱壳机脱壳（无视OEP 直接丢进去就可以）
图例教程：http://www.52pojie.cn/forum.php?mod=redirect&goto=findpost&ptid=396184&pid=9793232 (221楼)


4.利用脱壳脚本脱壳
图例教程：http://www.52pojie.cn/forum.php?mod=redirect&goto=findpost&ptid=396184&pid=9793286 (222楼)

file:///c:/documents and settings/administrator/application data/360se6/User Data/temp/4.gif

.程序入口的特征：1.VC6特点：入口点代码是固定的代码，入口调用的API也是相同的，其中有的push地址不同程序可能不同；区段有四个也是固定的.text、.rdata、.data和.rsrc。


2.VS特点：入口点只有两行代码，一个CALL后直接JMP，第一个CALL进去后调用的API也是相同的；区段相对于VC6多了一个.reloc。


3.易语言特点：可以从程序里找一些call的调用最终都会走到上面核心代码图位置（文字不太好表达），这个方法可以区分和VC的区别，非独立编译比较容易识别，入口特征和模块特征都有krnln.fnr。


更多完整版：http://www.52pojie.cn/thread-234739-1-1.html


.脱壳时 脱壳后 修复时 修复后 出现的问题

1.程序没有办法打开了 （如：XP修复 XP打开 出现 崩溃 闪退）

☆问题原因：修复失败

☆解决方法：手动获取OEP、RVA、Size
OEP = 程序入口 - 基址
RVA = API开头 - 基址
Size = API末尾 - API开头
ImportREC设置的图例教程：http://www.52pojie.cn/forum.php? ... =396184&pid=9793326 (223楼)

2.换了机子之后 打不开 （如：从XP更换到Win7 出现 崩溃 闪退）

☆问题原因：ASLR问题（重定位）

☆什么是ASLR？ASLR为保护系统免受黑客的攻击的一种保护 它会修改程序的入口基址等 最后通过运算等使程序运行起来 xp和win7的设置不同 所以会出现这样的问题 在xp上可以运行 而到了win7上保护开启 所以出现无法使用的情况

☆解决方法：打开LordPE - 右上角的“PE编辑器” - 选择程序 - 选择“特征值”最后的“...”按钮 - “重定位已分离” （注：勾选上为不支持重定位已分离 不勾选则支持重定位已分离）- 勾选 - 保存 - 运行正常 - 问题即可解决

3.程序的自检验 有暗装


4.脱壳时感觉到了OEP却看不到程序的入口特征 动了动鼠标就出现了乱码 但是脱壳后运行起来正常
☆解决方案：Ctrl + ↑（或者↓）来一个字节一个字节来调整对应即可
☆图例问题：http://www.52pojie.cn/forum.php?mod=redirect&goto=findpost&ptid=396184&pid=9793347 (224楼)

5.OD中Ctrl+G没有API的函数辅助框
☆解决方案：先打开OD - 插件 - StrongOD - Options - adv（这个把勾去掉）- 保存
然后插件 - IDAFicator - Options - 勾全部打上 - 保存
最后Ctrl+G 就出现了想要的辅助框 方便你来查找函数


6.OD下方框中寻找不到想要找的二进制字符串（Ctrl + B）
☆解决方案：在这个窗口 - 右键 - Hex - 换其他的试试（或者 右键 - 文本 - 换一换）


7.OD载入每次入口地址都不一样怎么办
关闭ASLR 与2问题一样 向上与问题2的解决方案一样

.快捷键 快捷设置 快捷方案


1.如何在右键中加入”发送到OD“或者”发送到LordPE“ 方便 不用拖入OD等程序
解决方案：点击“开始”- 运行 - 输入：sendto - 运行 - 右键复制EXE程序 然后将快捷方式粘贴进去 这样在右键当中就有了你想要的快捷了哦



《吾爱破解培训第一课：破解基础知识之介绍常见工具和壳的特征》 讲师：Hmily，链接：http://www.52pojie.cn/thread-378612-1-1.html

《吾爱破解培训第二课：实战去广告、弹窗及主页锁定》 讲师：Kido，链接：http://www.52pojie.cn/thread-384195-1-1.html

《吾爱破解培训第三课：改头换面之修改版权和资源》 讲师：Kido，链接：http://www.52pojie.cn/thread-389996-1-1.html

《吾爱破解培训第四课：击破程序最坚固的堡垒--实战去程序自校验》 讲师：小生我怕怕，链接：http://www.52pojie.cn/thread-392395-1-1.html

《吾爱破解培训第五课：反击作者的挑衅--实战解除程序重启验证》 讲师：我是用户，链接：http://www.52pojie.cn/thread-396068-1-1.html

《吾爱破解培训第六课：潜伏在程序身边的黑影--实战给程序补丁》 讲师：


8.16日下午完善 正在继续补充中ing

无极边缘

wzxkk123 发表于 2015-8-16 19:41
push窗口之后还会有时间限制

得打补丁。这是当初那个大牛发我的数据。然后他打补丁直接爆破了。无视了注册宝好像。

992001
992001:2016-08-10 22:08:09
992001:306丨picatown.xyz/homepage.htnl丨论坛地址:picatown.xyz/homepage.htnl丨Q群:XXXXXXX             这是效验码Q群我屏蔽了

0012f4C4   0081B20C  ASCII"API_login"
0012F4D4   00B1B23F  ASCII"API_GetExptime"                  补码数据好像
0012F4D4   00B1B24E  ASCII"API_GetCode"

0121FDD7   68 E8796068      push 0x686079E8

012171A2    E8 D98C0200      CAll 命运辅助.0123FE80             这3个是补码地址

0122B212    9C               pushfd

wang1234561211

论坛上找了个方法，说用SFX的方法，找到了这里

[Asm] 纯文本查看 复制代码

0041DDAC    E8 EF4E0000     call 吾爱破解.00422CA0                       ; SFX 代码真正入口点
0041DDB1  ^ E9 79FEFFFF     jmp 吾爱破解.0041DC2F
0041DDB6    3B0D B0074400   cmp ecx,dword ptr ds:[0x4407B0]
0041DDBC    75 02           jnz short 吾爱破解.0041DDC0

也不知道是不是，脱了壳，现在在试试怎么修复

zpfttkl

感谢分享！多发有用的帖子啊！

wzxkk123

ExeinfoPE的使用和PEID的使用：这里是伟大的2楼

wzxkk123

zpfttkl 发表于 2015-8-4 22:46
感谢分享！多发有用的帖子啊！

谢谢鼓励哦

yang519983469

感谢分享，新手福利

Amala

不错，有总结，就有收获，感谢分享

Cizel

很赞，图片再排版一些就更加好了~ 明天给你分你，今天的用完了

wzxkk123

奋斗丶小Z 发表于 2015-8-4 23:17
很赞，图片再排版一些就更加好了~ 明天给你分你，今天的用完了

里面还有你的链接呢 我整理整理

wzxkk123

奋斗丶小Z 发表于 2015-8-4 23:17
很赞，图片再排版一些就更加好了~ 明天给你分你，今天的用完了

怎么能让他更排版一些呢 我头大了

Cizel

wzxkk123 发表于 2015-8-4 23:29
怎么能让他更排版一些呢 我头大了

图片要换行~
颜色尽量只使用3种
字体用微软雅黑