好友
阅读权限30
听众
最后登录1970-1-1
|
小黑冰
发表于 2008-6-24 23:35
**********************************************四大压缩壳*****************************************************************
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
1.捷径法
2:内存镜像法
3.ESP定律
4.单步跟踪法
5.断点法GetProcAddress OEP最近的函数
**************************************************************************************************************
ASPack 1.08.03 -> Alexey Solodovnikov 1跳
ASPack 2.11 -> Alexey Solodovnikov 1进 让他回跳 1跳
ASPack 2.12 -> Alexey Solodovnikov 2进 1跳
方法1:单步跟踪
方法2:ESP定律
方法3:一步直达
方法4:2次内存镜像
方法5:模拟跟踪
方法6:SFX
****************************************************************************************************************
nSPack 1.3 -> North Star/Liu Xing Ping
nSPack 2.2 -> North Star/Liu Xing Ping
nSPack 3.7 -> North Star/Liu Xing Ping
1:巧方法脱
2:ESP定律法:
3:单步跟踪法
4.一步直达
5:断点法
at GetVersion
bp CreateFileA
***************************************************************************************************************
FSG 1.33
1.内存景象法
2.ESP定律(忽略所有异常)
3:模拟跟踪法(不忽略内存异常)
4:单步法(忽略所有异常)
FSG 1.33变形壳
1.内存景象法
2.ESP定律(忽略所有异常)
3:模拟跟踪法(不忽略内存异常)
4:单步法(忽略所有异常)
SFG 2.0 《手动找IAT》
1.特殊单步法:
inc eax
js short qqspirit.004001C2
jnz short qqspirit.004001D4 不要他跳
jmp dword ptr ds:[ebx+C] F4 就到OEP
push eax
2.特殊FSP法
单步2步
看堆栈第4行 右-反汇篇窗口跟随 这时候可以看到代码窗口都是为O代码
下硬件断点 F9
或CTRL+G到OEP地址 F2 F9 F2 [s:43][s:43][s:43][s:43][s:43]
希望给新手朋友给点帮助把`!~~~!~!~!~!~!~ |
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2008-6-24 23:45
