免费教程_免费网赚教程_破解版软件-寂涯网络学习基地

系统教程 编程教程 建站教程 美工教程破解教程 网络安全教程
返回首页
当前位置: 主页 > 千g教程免费共享 > 破解教程 > 菜鸟腾飞论坛章鱼宝破解脱壳教程

菜鸟腾飞论坛章鱼宝破解脱壳教程

界面语言:简体中文 软件大小:257 MB 文件类型:.rar 运行环境:Win2003,WinXP,Win2000,Win9X 教程等级:★★★☆☆ 发布时间:2012-04-23 下载次数:加载中...次 解压密码:本站所有密码均为www.jybase.net
教程介绍
主讲:章鱼宝

                       一.脱壳基础知识要点

1.PUSHAD :(压栈) 代表程序的入口点

2.POPAD  :(出栈) 代表程序的出口点,与PUSHAD想对应.看到这个,就说明快到OEP了.

3.OEP:程序的入口点,软件加壳就是隐藏OEP.而我们脱壳就是为了找OEP.


            二.脱壳调试过程中辨认快到OEP的简单方法

下面二个条件是快到OEP的共同现象:

若出现下面情况时,说明OEP就要到了:

1. OD跟踪过程中如果发现:
popad
popfd

popad

2.同时,紧接着,有retn ,jmp等其它跳转指令,发生跨段跳跃时.
说明OEP马上到了.

 

            三.脱壳必需牢记的要领

1.单步往前走,不要让程序向上走,遇到向上跳时,在下一句按F4,运行到所选.

2.刚载入程序,在附近就call时,我们按F7跟进去.

3.若跟踪时,运行某个call程序就运行时,这个call也用F7进入.

4.在跟踪时,出现比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN同时发生大跨段跳转时,说明很快就到OEP了.

 

                     四.常用脱壳方法总结

------------------
方法一:单步跟踪法
------------------
介绍:这是最通用的方法,对于未知壳,基本都用这种方法,这种方法过程比较麻烦,要一步一步的跟踪分析,要有一定的耐心.

1.用OD载入,选"不分析代码"

2.单步向下跟踪按F8,实现向下的跳.不让程序往回跳.

3.遇到程序往回跳的(包括循环),我们在下一句代码处按F4(或者右健单击代码,选择断点——>运行到所选)

4.如果刚载入程序,在附近就有一个CALL的,我们就F7跟进去,不然程序很容易运行.

5.在跟踪的时候,如果运行到某个CALL程序就运行的,就在这个CALL中F7进入.

6.一般遇到很大的跳转(跨段跳),比如 jmp XXXXXX 或 JE XXXXXX 或有RETN的一般很快就会到程序的OEP。


-----------------
方法二:ESP定律法
-----------------
介绍: 这种方法可以脱大部的压缩壳和少数加密壳,操作起来比较简单,脱壳速度也相对比较快.

1.开始就点F8向下走,注意观察OD右上角的寄存器中ESP有没突现(变成红色)

2.在命令行下:dd XXXXXXXX(指在当前代码中的ESP地址,或者hr
XXXXXXXX),按回车!

3.选中下断的地址,断点--->硬件访--->WORD断点。

4.按一下F9运行程序,直接来到了跳转处,按下F8向下走,就到达程序OEP。

-----------------
方法三:内存镜像法
-----------------
介绍:也是一种比较好用的脱壳方法,大部分的压缩壳和加密壳用内存镜像法能快速脱掉.非常实用.

1.用OD打开,设置选项——调试选项——异常,忽略所有异常(也就是把里面的忽略全部√上),然后CTRL+F2重载下程序!

2.按ALT+M,打开内存镜象,找到程序的第一个.rsrc.按F2下断点,然后按SHIFT+F9运行到断点.

3.接着再按ALT+M,打开内存镜象,找到程序的第一个.rsrc.上面的.CODE,按F2下断点!然后按SHIFT+F9,直接到达程序OEP!

----------------
方法四:一步到OEP
----------------
介绍:这是一种巧方法,脱壳速度最快,前提是要知道这个壳的特征,利用这种壳的共性快速找到程序的OEP.这种方法只用于少数壳.

1.开始按Ctrl+F,输入:popad,然后按下F2下断,按F9运行到此处.

2.很快来到大跳转,按F8向下走,来到OEP.


----------------------
方法五:最后一次异常法:
----------------------
介绍:这种方法一般用于加密壳,这是脱加密壳的一种通用方法.

第一步:用OD打开程序,点击选项——调试选项——异常,把里面的√全部去掉!CTRL+F2重载下程序.

第二步:接着我们按SHIFT+F9,直到程序运行,记下从开始按SHIFT+F9到程序运行的次数n.

第三步:重载程序,再按SHIFT+F9,这次按的次数为上次让程序运行时的次数的n-1次.

第四步:此时观察OD的右下角有一个"SE 句柄",这时我们按CTRL+G,输入SE 句柄前的地址!来到这个地址.

第五步:在这里,按F2下断点!然后按SHIFT+F9来到断点处!

第六步:这时候我们已经跳过了所有异常,然后去掉断点,按F8慢慢向下跟踪很快就到达OEP了.

一.压缩壳介绍:
一般压缩壳主要目的是为了减少程序的体积以便于在网络中传播,目前大多数软件基本都用压缩壳.所以脱壳相对比较简单.

方法一:单步跟踪法:

练习壳:UPX壳
方法二:ESP定律法:

练习壳:ASPACK, Dxpack 0.86 ,PCSHRINK.98.E,北斗
方法三:懒方法快速脱大量压缩壳

部分压缩壳

掌握以上三种脱压缩壳的方法,多找些压缩壳多操作多练习

 

百度搜索更多

谷歌搜索更多

本页地址 http://www.jybase.net/pojiejiaocheng/20120423853.html

下载地址
下载说明

下载注意事项,下载前麻烦各位稍微看一眼

•注意事项一:本站教程软件来自互联网,但软件均检测过,一般不会有问题。
•注意事项二:补充下第一点,破解软件存在误报,带破解软件的教程也可能报毒。如果不放心的话请在虚拟机或沙盘中运行。
•注意事项三:如果无法下载,请留言,本人将尽快更新
•注意事项四:本站软件部分会有解压缩密码,密码一般会给出(注意看关于本站),没有请留言。

顶一下
(1)
100%
踩一下
(0)
0%
------分隔线----------------------------

评价:
昵称: 验证码:点击我更换图片


关于本站免责声明视频更新google百度地图视频地图RRS订阅

如有什么问题请在本站留言,或发邮件到 hxt167#foxmail.com