吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 5564|回复: 18
收起左侧

[第一课] 小白初学脱壳目前遇到问题及解决方法,如果不因为考研影响应该会一直更吧2017

[复制链接]
执一呀 发表于 2018-11-15 16:57
本帖最后由 执一呀 于 2019-1-21 18:09 编辑

2019年1月21日18:08:05  xiaomo教程正式完结

正在练习  ximo早起发的脱壳基础
楼主没有任何ASM PE经验


第一课:脱UPX壳 利用OD俩方式进行脱壳之后  程序无法正常运行 当时是说程序无法找到入口一类的,
           百度看得脑壳痛,自己试了一下IMPortREC修复美滋滋成功
\\\\\个人感觉问题:和系统有关    千万别去百度下载说明user32.dll然后替换,我换了之后电脑GG,结果问题没解决



第二天 脱ASPack壳 这个很简单  总的来说 ESP方法蛮好用的 大体写一下步骤
           https://jingyan.baidu.com/article/7e440953dc0f6e2fc0e2ef00.html]如何在右键添加菜单方便你打开Peid 和OD[/url]

  •    peid 差壳
  • 软件拖入OD
  • 单步一下(F8) 看右侧那个ESP那块变色了  右键 数据窗口跟随
  • 有没有看到你的左下角变化了 ,有就对了,在数值哪里右键断点 (那个数值都行,亲测) 硬件访问  word 运行一下
  • 之后删除断点(我没删除最后也找到了OEP,但是视频xiaomo是删除的)
  • 单步,单步 单步  只向下  不要向上
  • 之后你会看到popad  出栈啦,  
  • 继续单步 你就找到了OEP      12D4  


  • 用方式1,2,lordpe 脱了她 ,她的果体原来是VB呀
  • 事实证明  xiaomo的教程真的老了,继续importREC修复吧
  • 修复完成脱壳完成  美滋滋

@Hmily   艾特大佬 有没有教程 教这么排版呀 不会发帖



遇到FSG的问题,看图,我看xiaomo没有问题直接跳到OEP看论坛里面的说法是删除分析 ,但是依然没有直接到达OEP        

希望审查大佬看到回复一下 Thanks♪(・ω・)ノ 目前百度没有解决  

遇到问题日期:2018年11月18日  

问题没有解决   如果调出的请@执一呀  谢谢

重点 修复IAT   此方法是软件修复不可用后用此方法

  • 找call 记下跳转地址
  • 输入 d 跳转地址 回车
  • 在数据窗口鼠标拉倒最上面和最下面也就是数值(注释)为0(空)的地方 记下地址
  • 打开ImportREC 数据OEP RVA是最上面的地址  大小是最下面地址减最上面地址,为了省事 可以填写1K
  • 然后老规矩修复即可


问题解决   OD方式一修复之后无法使用  出现该内存不能read  

经测试  方式二和LordPE 脱壳之后经过IAT修复都可以使用
2018年11月22日

2018年11月24日
PECompact2.x
主要说一下最后一次异常法
我按照视频里面取消所有异常之后,视频里面是俩次运行之后程序跑飞
在2-1次后 观察右下角找到SE 句柄  之后转到SE地址  C+G 输入地址也可以
se句柄地址就是0045DE74

程序一开始第一句代码

0040A86D >  B8 74DE4500     mov eax,qqspirit.0045DE74
有一种方法 bp 0045DE74  回车 S+F9  取断
遇到retn尝试断点跳过,看程序是否跑飞,跑飞不跳,不跑飞跳一下
单步  之后进入OEP 脱壳

终于知道LordPE 作用了
介绍一下ImportREC和LordPE组合技
notepad 脱完壳,IP修复无法打开,LP里面PE重建也不能打开
我们选择先重建PE加IP修复 完美



2018  12.2

EZIPz这个壳直接ESP定律解决没有任何技术难度,最多ImpactREC修复一下
TELock0.98b1壳
我很奇怪一直永不了最后一次异常法 不知道为什么在虚拟机也一样
两次内存镜像也用不了 很他妈奇怪  
俩次内存直接已停止 单步单步最后陷入循环感觉他妈让作者玩了
问题解决方法:
xiaomo 的手脱TELock0.98b1壳 按照教程无法脱壳              
https://www.52pojie.cn/thread-834967-1-1.html
附加数据那块 就是算一下实际地址与偏移一直的和  用来在HEX WORKSHOP 快速找到overlay区段
然后就是软件的应用了

自效验就是脱壳程序与源程序(已找到OEP) 一起单步找不同
这里需要看懂汇编代码  就可以修复问题了
软件汉化实质也就是 脱壳 之后用一些软件修改

手脱ASpack 变形壳 这里主要是 再复杂的程序 载入OD 及时反复跳转 用最后一次异常法思路 ,既然程序能运行,那么肯定又一次能跳出去.

长时间没看今天偶然看了一下 成功把小莫哪里脱壳成功 附上 隐藏Od插件   记得把doc改成dll  这是独立团的插件
具体过程和小莫类似
取消内存异常 ,
之后俩次出现异常
运行一次堆栈窗口找SE句柄 (Se处理程序) 数据窗口跟随
内SE句柄数据下内存访问断点  (大概意思是一般断点断不住)
之后运行下段
运行下段
一直到看到retn  
点B删除所有断点包括内存访问断点
在retn f4
之后点击 M 找到00401000 下段运行
直接OEP

分析; 内存访问断点哪里我也不太懂  之后那几步也不懂  现在对壳的理解就是位于OEP之前的一段迷宫   正常运行的程序是可以到出口的
但是一旦我们自己把程序拖入OD去调试  就想是在找路  找跳转 找retn 找push     push是压入
附上;

OEP大全
https://www.52pojie.cn/thread-843072-1-1.html
(出处: 吾爱破解论坛)





2018 12 27  
18、ACProtect之寻找丢失的Stolen Code   
我记得最深刻就是 d 12ffc0 这个断点 具体为什么我也不清楚,他说是个死穴。
说一下关键点吧:
前几步都是下内存访问断电,找到假OEP ,将12ffc0 这个断点出的真OEP Bin复制,去00401000 断点运行,分析代码,否则会乱,向上找五个字节,二进制粘贴,修复。一气呵成。
运行发现有错误,原来是入口点有问题,然后Od程序,改代码,我们希望载入OD的那一块是OEP,但是由于壳的保护,没能正确的调到是程序正常运行的入口点出,我们JMp强制跳转,但是发现没吊用,之后用LOrdPE更改了入口点才可以。

删除分析后

删除分析后

删除分析前

删除分析前

import REC.txt

1.67 KB, 下载次数: 11, 下载积分: 吾爱币 -1 CB

Import REC使用教程

隐藏OD.doc

52 KB, 下载次数: 0, 下载积分: 吾爱币 -1 CB

把doc改成dll

免费评分

参与人数 2吾爱币 +2 热心值 +2 收起 理由
xiaann + 1 + 1 谢谢@Thanks!
lxq007 + 1 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| 执一呀 发表于 2018-11-16 23:00
xiaann 发表于 2018-11-16 12:01
刚开始学 请问楼主用的谁的入门呢 该从哪里开始看

xiaomo的视频讲脱壳,但是视频已经很久远了,有些程序win7打不开,然后是官方视频
 楼主| 执一呀 发表于 2018-11-16 23:01
跌宕起伏 发表于 2018-11-16 12:18
od自带脱壳,只适用于小部分,尽量使用修复程序脱壳。

对,一般程序无法运行就importrec一下,解决不了在想其他办法,手动修复搞不了
xiaann 发表于 2018-11-16 12:01
刚开始学 请问楼主用的谁的入门呢 该从哪里开始看
跌宕起伏 发表于 2018-11-16 12:18
od自带脱壳,只适用于小部分,尽量使用修复程序脱壳。
超能小虎 发表于 2018-11-16 17:47
学习一下!!
攘夷志士 发表于 2018-11-16 19:55
刚开始学 先马克一下
小小怪将军 发表于 2018-11-16 22:16
楼主做这个入门大概多久啊
 楼主| 执一呀 发表于 2018-11-16 22:58
小小怪将军 发表于 2018-11-16 22:16
楼主做这个入门大概多久啊

不知道,我也是刚开始学习,学一点遇到问题更一点,
bearcating 发表于 2018-11-17 20:59
楼主什么专业的?准备考哪里?
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-22 10:32

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表