一区二区三区免费电影,日日夜夜天天久久

用OD脫殼的基本方法- 笑傲江湖 - 新浪BLOG

2007.06.26

用OD脫殼的基本方法

一、概論

殼出于程序作者想對(duì)程序資源壓縮、注冊(cè)保護(hù)的目的，把殼分為壓縮殼和加密殼兩種
UPX ASPCAK TELOCK PELITE NSPACK ...
ARMADILLO ASPROTECT ACPROTECT EPE SVKP ...
顧名思義，壓縮殼只是為了減小程序體積對(duì)資源進(jìn)行壓縮，加密殼是程序輸入表等等進(jìn)行加密保護(hù)。當(dāng)然加密殼的保護(hù)能力要強(qiáng)得多！

二、常見脫殼方法

預(yù)備知識(shí)

1.PUSHAD （壓棧）代表程序的入口點(diǎn),
2.POPAD （出棧）代表程序的出口點(diǎn)，與PUSHAD想對(duì)應(yīng)，一般找到這個(gè)OEP就在附近
3.OEP：程序的入口點(diǎn)，軟件加殼就是隱藏了OEP（或者用了假的OEP/FOEP），只要我們找到程序真正的OEP，就可以立刻脫殼。

方法一：?jiǎn)尾礁櫡?br>1.用OD載入，點(diǎn)“不分析代碼！”
2.單步向下跟蹤F8，實(shí)現(xiàn)向下的跳。也就是說向上的跳不讓其實(shí)現(xiàn)！（通過F4）
3.遇到程序往回跳的（包括循環(huán)），我們?cè)谙乱痪浯a處按F4（或者右健單擊代碼，選擇斷點(diǎn)——>運(yùn)行到所選）
4.綠色線條表示跳轉(zhuǎn)沒實(shí)現(xiàn)，不用理會(huì)，紅色線條表示跳轉(zhuǎn)已經(jīng)實(shí)現(xiàn)！
5.如果剛載入程序，在附近就有一個(gè)CALL的，我們就F7跟進(jìn)去，不然程序很容易跑飛，這樣很快就能到程序的OEP
6.在跟蹤的時(shí)候，如果運(yùn)行到某個(gè)CALL程序就運(yùn)行的，就在這個(gè)CALL中F7進(jìn)入
7.一般有很大的跳轉(zhuǎn)（大跨段），比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN的一般很快就會(huì)到程序的OEP。

Btw:在有些殼無法向下跟蹤的時(shí)候，我們可以在附近找到?jīng)]有實(shí)現(xiàn)的大跳轉(zhuǎn)，右鍵-->“跟隨”,然后F2下斷，Shift+F9運(yùn)行停在“跟隨”的位置，再取消斷點(diǎn)，繼續(xù)F8單步跟蹤。一般情況下可以輕松到達(dá)OEP！

方法二：ESP定律法
ESP定理脫殼（ESP在OD的寄存器中，我們只要在命令行下ESP的硬件訪問斷點(diǎn)，就會(huì)一下來到程序的OEP了！）
1.開始就點(diǎn)F8，注意觀察OD右上角的寄存器中ESP有沒突現(xiàn)（變成紅色）。（這只是一般情況下，更確切的說我們選擇的ESP值是關(guān)鍵句之后的第一個(gè)ESP值）
2.在命令行下：dd XXXXXXXX(指在當(dāng)前代碼中的ESP地址，或者是hr XXXXXXXX)，按回車！
3.選中下斷的地址，斷點(diǎn)--->硬件訪--->WORD斷點(diǎn)。
4.按一下F9運(yùn)行程序，直接來到了跳轉(zhuǎn)處，按下F8，到達(dá)程序OEP。

方法三：內(nèi)存鏡像法
1：用OD打開軟件！
2：點(diǎn)擊選項(xiàng)——調(diào)試選項(xiàng)——異常，把里面的忽略全部√上！CTRL+F2重載下程序！
3：按ALT+M,打開內(nèi)存鏡象，找到程序的第一個(gè).rsrc.按F2下斷點(diǎn)，然后按SHIFT+F9運(yùn)行到斷點(diǎn)，接著再按ALT+M,打開內(nèi)存鏡象，找到程序的第一個(gè).rsrc.上面的.CODE（也就是00401000處），按F2下斷點(diǎn)！然后按SHIFT+F9（或者是在沒異常情況下按F9），直接到達(dá)程序OEP！

方法四：一步到達(dá)OEP
1.開始按Ctrl+F,輸入：popad（只適合少數(shù)殼，包括UPX，ASPACK殼），然后按下F2，F(xiàn)9運(yùn)行到此處
2.來到大跳轉(zhuǎn)處，點(diǎn)下F8，到達(dá)OEP！

方法五：最后一次異常法
1：用OD打開軟件
2：點(diǎn)擊選項(xiàng)——調(diào)試選項(xiàng)——異常，把里面的√全部去掉！CTRL+F2重載下程序
3：一開始程序就是一個(gè)跳轉(zhuǎn)，在這里我們按SHIFT+F9，直到程序運(yùn)行，記下從開始按SHIFT+F9到程序運(yùn)行的次數(shù)m！
4：CTRL+F2重載程序，按SHIFT+F9（這次按的次數(shù)為程序運(yùn)行的次數(shù)m-1次）
5：在OD的右下角我們看見有一個(gè)"SE 句柄"，這時(shí)我們按CTRL+G，輸入SE 句柄前的地址！
6：按F2下斷點(diǎn)！然后按SHIFT+F9來到斷點(diǎn)處！
7：去掉斷點(diǎn)，按F8慢慢向下走！
8：到達(dá)程序的OEP！

方法六：模擬跟蹤法
1：先試運(yùn)行，跟蹤一下程序，看有沒有SEH暗樁之類
2：ALT+M打開內(nèi)存鏡像，找到（包含=SFX,imports,relocations）

內(nèi)存鏡像，項(xiàng)目 30
地址=0054B000
大小=00002000 (8192.)
Owner=check       00400000
區(qū)段=.aspack
包含=SFX,imports,relocations
類型=Imag 01001002
訪問=R
初始訪問=RWE

3：地址為0054B000，如是我們?cè)诿钚休斎雝c eip<0054B000,回車，正在跟蹤ing。。

Btw:大家在使用這個(gè)方法的時(shí)候，要理解他是要在怎么樣的情況下才可以使用

方法七：“SFX”法
1：設(shè)置OD，忽略所有異常，也就是說異常選項(xiàng)卡里面都打上勾
2：切換到SFX選項(xiàng)卡，選擇“字節(jié)模式跟蹤實(shí)際入口（速度非常慢）”，確定。
3：重載程序（如果跳出是否“壓縮代碼？”選擇“否”，OD直接到達(dá)OEP）
如何分辨加密殼和壓縮殼，通用特點(diǎn)，Od載入時(shí)有入口警告或詢問是壓縮程序嗎？普通壓縮殼Od調(diào)試時(shí)候沒有異常，加密殼全部有反跟蹤代碼，會(huì)有許多SEH陷阱使OD調(diào)試時(shí)產(chǎn)生異常。
找OEP的一般思路如下：
先看殼是加密殼還是壓縮殼，壓縮殼相對(duì)來說容易些，一般是沒有異常。
外殼解壓代碼起始點(diǎn)如果是

pushfd
pushad

跟蹤時(shí)如果有發(fā)現(xiàn)

popad
popfd

對(duì)應(yīng)
有些殼只有

pushad

和

popad

相對(duì)應(yīng)
附近還有

retn
jmp

等指令，發(fā)生跨斷跳躍一般就到了OEP處。
當(dāng)然也有其他的，如 je OEP等等，一般都是段之間的大跳轉(zhuǎn)，OD的反匯編窗口里都是同一個(gè)段的內(nèi)容，所以更好區(qū)別是否是段間跳轉(zhuǎn)。

找Oep時(shí)注意兩點(diǎn)。
1、單步往前走，不要回頭。
2、觀察。注意poshad、poshfd,popad、popfd等，和外殼代碼處對(duì)應(yīng)，注意地址發(fā)生大的變化。單步跟蹤什么時(shí)候F8走，F(xiàn)7,F4步過？

這里我說說關(guān)于F8(Step Over)和F7(Step in)的一般方法，粗跟的時(shí)候一般都是常用F8走，但是有些call是變形的Jmp，此時(shí)就需要F7代過，區(qū)別是否是變形Jmp的一個(gè)簡(jiǎn)單方法是比較call的目標(biāo)地址和當(dāng)前地址，如果兩者離的很近，一般就是變形Jmp了，用F7走。對(duì)于Call的距離很遠(yuǎn)，可以放心用F8步過，如果你再用F7步過，只是浪費(fèi)時(shí)間而已。F8步過對(duì)壓縮殼用的很多，F(xiàn)7步過加密殼用的很多，如果用F8一不小心就跑飛（程序運(yùn)行），跟蹤失敗。

加密殼找Oep
對(duì)于加密殼，我的方法一般是用OD載入，鉤掉所有異常（不忽略任何異常，除了忽略在KERNEL32 中的內(nèi)存訪問異常打勾。有時(shí)由于異常過多可以適當(dāng)忽略一些異常），運(yùn)行，數(shù)著用了多少次Shift+F9程序運(yùn)行，顯然最后一次異常后，程序會(huì)從殼跳到OEP開始執(zhí)行，這就是我們尋找OEP的一個(gè)關(guān)鍵，如果程序 Shift+F9后直接退出，很明顯加密殼檢測(cè)調(diào)試器，最簡(jiǎn)單的應(yīng)付方法就是用OD插件隱藏OD。
單步異常是防止我們一步步跟蹤程序，即F8,F7，F(xiàn)4等，Int3中斷是檢測(cè)調(diào)試器用的，僅在Win9x系統(tǒng)中有效，2000/XP就會(huì)出現(xiàn)斷點(diǎn)異常,其它的異常主要是干擾調(diào)試。這一系列的異常雖然干擾我們調(diào)試，但也給我們指明了一條通路，就是Shift+F9略過所有異常，然后找到最后一處異常，再它的恢復(fù)異常處下斷點(diǎn)，跟蹤到脫殼入口點(diǎn)。
確定從所有Seh異常中走出來，如果前面有大量循環(huán)，逐段解壓。
****************************************************************************************
大家先細(xì)細(xì)品位下上面的“理論”！如果你弄懂了，那你應(yīng)該高興下了。。

****************************************************************************************

好了，切入正題。。。。

OD載入，因?yàn)槲乙婚_始就不忽略所有的異常，所以一載入就提示有異常，我們shit+F9，點(diǎn)“否”，停在入口了。(不忽略所有的異常,請(qǐng)大家檢查一下自己的OD)

00401000 PEncryp>     FC                 cld             //停在這里了。
00401001              FC                 cld
00401002              FC                 cld
00401003              90                 nop
00401004            - E9 BDBA0000        jmp PEncrypt.0040CAC6
00401009            - E3 D5              jecxz short PEncrypt.00400FE0

下面就開始使用最后一次異常法了。。。

我們一直狂按shit+F9，心里要數(shù)著按了多少次，程序就運(yùn)行了:)
我這里按了3次

好，我們現(xiàn)在重新載入程序，到了入口之后，我們?cè)俅?#8220;狂”按shit+F9，多少次？2次（3-1=2）

0040CCD2              4B                 dec ebx       //停在這里了
0040CCD3              6F                 outs dx,dword ptr es:[edi]
0040CCD4              6368 69            arpl word ptr ds:[eax+69],bp
0040CCD7              8B4424 04          mov eax,dword ptr ss:[esp+4]

好了，我們先就停在這里

看看轉(zhuǎn)存器窗口
0012FFBC      0012FFE0     指針到下一個(gè) SEH 記錄
0012FFC0      0040CCD7     SE 句柄        //Ctrl+G，到0040CCD7
0012FFC4      77E614C7     返回到 kernel32.77E614C7
0012FFC8      00000000
0012FFCC      00000000
0012FFD0      7FFDF000

F2下斷，shit+F9運(yùn)行，停到0040CCD7，取消斷點(diǎn)，單步F8

0040CCD7              8B4424 04          mov eax,dword ptr ss:[esp+4]     //停到這里了
0040CCDB              8B00               mov eax,dword ptr ds:[eax]
0040CCDD              3D 04000080        cmp eax,80000004
0040CCE2              74 06              je short PEncrypt.0040CCEA     //跳走

。。。。。。。。。。

0040CCEA             /EB 02              jmp short PEncrypt.0040CCEE//跳到這里，這里又再次跳走
0040CCEC             |49                 dec ecx

。。。。。。。。。。
0040CCEE              60                 pushad      //跳到這里了，關(guān)鍵提示，繼續(xù)F8
0040CCEF              9C                 pushfd      //關(guān)鍵提示
0040CCF0              BE 00104000        mov esi,PEncrypt.<ModuleEntryPoin>
0040CCF5              8BFE               mov edi,esi
0040CCF7              B9 00100000        mov ecx,1000
0040CCFC              BB 2B11D2BB        mov ebx,BBD2112B
0040CD01              AD                 lods dword ptr ds:[esi]
0040CD02              33C3               xor eax,ebx
0040CD04              AB                 stos dword ptr es:[edi]
0040CD05            ^ E2 FA              loopd short PEncrypt.0040CD01     //要回跳了
0040CD07              9D                 popfd //在這里F4，繼續(xù)F8
0040CD08              61                 popad
0040CD09              EB 02              jmp short PEncrypt.0040CD0D     //跳走

。。。。。。。。。。
0040CD0D              60                 pushad     //跳到這里了，關(guān)鍵提示，繼續(xù)F8
0040CD0E              9C                 pushfd     //關(guān)鍵提示
0040CD0F              BE 00504000        mov esi,PEncrypt.00405000
0040CD14              8BFE               mov edi,esi
0040CD16              B9 00040000        mov ecx,400
0040CD1B              BB 2B11D2BB        mov ebx,BBD2112B
0040CD20              AD                 lods dword ptr ds:[esi]
0040CD21              33C3               xor eax,ebx
0040CD23              AB                 stos dword ptr es:[edi]
0040CD24            ^ E2 FA              loopd short PEncrypt.0040CD20       //要回跳了
0040CD26              9D                 popfd       //在這里F4，繼續(xù)F8，關(guān)鍵提示
0040CD27              61                 popad       //關(guān)鍵提示
0040CD28              BD CC104000        mov ebp,PEncrypt.004010CC     //看到這里了沒？004010CC
0040CD2D              FFE5               jmp ebp     //跳到OEP

。。。。。。。

004010CC              55                 push ebp           ; PEncrypt.004010CC //OEP，DUMP
004010CD              8BEC               mov ebp,esp
004010CF              83EC 44            sub esp,44

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
脫殼后發(fā)現(xiàn)程序不能運(yùn)行,用Imprec修復(fù)引入函數(shù)表，在Oep處填10cc,點(diǎn)IT自動(dòng)搜索,然后點(diǎn)獲輸入信息,看到輸入表全部有效,點(diǎn)修復(fù)抓取文件按鈕,選擇Dump的文件,修復(fù)它,運(yùn)行后仍然不能運(yùn)行。那我們還有Lordpe重建PE的功能！

本站僅提供存儲(chǔ)服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊舉報(bào)。

打開APP，閱讀全文并永久保存查看更多類似文章

【新提醒】【圖】一步步教你1分鐘內(nèi)脫掉通達(dá)信的衣服

脫殼常用思路

更多類似文章 >>

九色国产,午夜在线视频,新黄色网址,九九色综合,天天做夜夜做久久做狠狠,天天躁夜夜躁狠狠躁2021a,久久不卡一区二区三区