好友
阅读权限10
听众
最后登录1970-1-1
|
54mj
发表于 2021-10-20 17:39
1.介绍一下自己 10月1号我注册,每天在论坛学习脱壳。
重点我一直没有成功手脱 UPX壳。
2.介绍一下我成功修改第一个软件过程
1.1查壳
1.2放入OD找OEP ,方法有 1.往下找忽略上跳一直到碰到大跳 2.puhad F7一下 esp 地址下硬件访问断点会断在popad堆栈平衡向下找 3.还有其他方法要自学了 看堆栈,给程序段下执行断点,直接搜索popad等
1.3找到oep脱壳
1.3.1用LordPE转存(我也不知道要不要运行程序),
1.3.2用导入表重建工具把原始导入表导入到转存文件中,重建PE。(修复导入表时我也不知道程序时运行的还是停止的)
1.3.3运行转存软件不显示0005错误,显示地址错误说明能运行。
1.4运行原始程序和转存程序,对比那个地址错误。
1.5在错误地址下写入硬件断点。
1.6找到壳程序修复地址程序段
1.7修改大跳壳程序(这里有个大坑下面要讲)
1.8让程序先执行壳程序修复地址后再跳到原始OEP
1.9爆破
1.9.1函数下段、暂停看堆栈法、搜索字符串,序列号、按键事件法、我自己研究的保密,后续看到同类方法我在更新我自己的两种。
1.9.2关键跳爆破成功。
1.9.3找暗桩,谁控制的关键跳的绝对地址,(修改壳程序可以实现运行就注册)
2.壳会检测壳程序的完整性
2.1问题就在照片里
2.1.1解决方法可以用大跳跳到空白地方加自己程序在跳回去原始oep
2.1.2要不可以修改程序过检测“图0”
3.反汇编技术,等下堆栈断点老是一个地方,说明有迷糊堆栈了 当上面出现 “00 53”“00 55” 可以DB 00地址 分开就可以看到正常堆栈 走向成功。
就分享到这里 谢谢大家讨论 |
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
|
发表于 2021-10-20 22:48
