吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 8501|回复: 25
收起左侧

[转贴] 破解入门(六)-----实战“内存镜像法”脱壳

  [复制链接]
涛之雨 发表于 2018-7-28 16:33
本帖最后由 涛之雨 于 2018-7-28 21:25 编辑

上一篇:传送门



《《《《《《《《《《《《《《《《《《《《《《《《《《《原文开始》》》》》》》》》》》》》》》》》》》》》》》》》》》

内存镜像法的步骤


(1)用OD打开软件
(2)点击选项——调试选项——异常,把里面的忽略全部√上。CTRL+F2重载下程序
(3)按ALT+M,打开内存镜象,找到程序的第一个.rsrc.按F2下断点,然后按SHIFT+F9运 行到断点,接着再按ALT+M,打开内存镜象,找到程序的第一个.rsrc.上面的代码段.text(或者CODE)(也就是00401000处),按F2下断点。然后按SHIFT+F9(或者是在没异常情况下按F9), 直接到达程序OEP

实战1

查壳

用PEID查壳的结果如下图,可以看出程序加了ASPack2.12的壳



2 寻找OEP

(1)用OD载入该程序



(2)依次选择OD选项(T)下的调试设置(D)子选择,弹出如下对话框,切到异常选项卡,将忽略下的子项全部勾上



(3)Ctrl + F2重新载入要脱壳的程序,Alt + M打开内存镜像,找到程序的第一个.rsrc.  F2下断点,按下F9运行程序



(3)再按ALT+M,打开内存镜象,找到程序的第一个代码段.rsrc.上面的.text,按F2下断点,  按下F9运行程序



(3)直接到达OEP



注:有时候在给软件脱壳,千心万苦找到了OEP,却发现不是常见的“push ebp”,而是出 现如下图这种情况,其实这是OD将这段代码当做数据了没有进行反汇编识别,解决方 法是,选中一行右键选择“分析”菜单,选择“分析”下的“分析代码”,OEP就会出 现在眼前了



3 脱壳

可以使用OD自带插件,也可以用LordPE,方法和前面"单步跟踪法"中使用方法一样

4 修复

可以使用ImportFix,方法和前面"单步跟踪法"中使用方法一样


文中用到的加壳程序下载地址:http://download.csdn.net/detail/qiurisuixiang/4363770

《《《《《《《《《《《《《《《《《《《《《《《《《《《原文结束》》》》》》》》》》》》》》》》》》》》》》》》》》》




ps:原地址:https://blog.csdn.net/qiurisuixiang/article/details/7660448

下一篇



免费评分

参与人数 4吾爱币 +3 热心值 +4 收起 理由
lm180180 + 1 热心回复!
老是卖你们 + 1 + 1 好帖子
freesoft00 + 1 + 1 我很赞同!
moranyuyan + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| 涛之雨 发表于 2018-7-28 22:09
多幸运遇见baby 发表于 2018-7-28 21:26
不解释下原理,没有新东西。。。有必要反复发么。。

有“反复”发么。。
我看论坛里没有啊
我倒是想解释,但是他写的很详细啊。。。
而且我也是小白。。。
Darren-Wu 发表于 2018-7-28 17:56
皓月苍穹之星 发表于 2018-7-28 18:14 来自手机
不解释下原理,没有新东西。。。有必要反复发么。。
hhk16 发表于 2018-7-28 18:15
顶一个!
Joduska 发表于 2018-7-28 18:27
可用性比较低,
XKtimely 发表于 2018-7-28 18:58
里经历了
heshu 发表于 2018-7-28 19:01
学习学习  ,赞一个
XKtimely 发表于 2018-7-28 19:02
抓紧哦见
海燕姓王why 发表于 2018-7-28 19:17
谢谢你,学到了
yaobao78 发表于 2018-7-28 20:05
感谢分享
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 22:32

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表