《软件脱壳破解培训班第二课程_教材课件》由会员分享,可在线阅读,更多相关《软件脱壳破解培训班第二课程_教材课件(2页珍藏版)》请在金锄头文库上搜索。
1、软件反编译破解学习班第二课软件反编译破解学习班第二课1、 介绍:介绍: 2、 欢迎访问 我们把壳分为压缩壳和加密壳两种 UPX ASPCAK 压缩 ARMADILLO ASPROTECT ACPROTECT EPE SVKP .tmd epe 加密壳 顾名思义,压缩壳只是为了减小程序体积对资源进行压缩,加密壳是程序输入表等等进行加密保护。当然加密壳的保护能 力要强得多!二、常见脱壳方法 上节讲那些这节我们复习一下1.PUSHAD (压栈) 代表程序的入口点, 2.POPAD (出栈) 代表程序的出口点,与 PUSHAD 想对应,一般找到这个 OEP 就在附近 3.OEP:程序的入口点,软件加
2、壳就是隐藏了 OEP(或者用了假的 OEP/FOEP) ,只要我们找到程序真正的 OEP,就可以 立刻脱壳。 方法一:单步跟踪法 1.用 OD 载入,点“不分析代码!” 2.单步向下跟踪 F8,实现向下的跳。也就是说向上的跳不让其实现!(通过 F4) 3.遇到程序往回跳的(包括循环) ,我们在下一句代码处按 F4(或者右健单击代码,选择断点运行到所选) 4.绿色线条表示跳转没实现,不用理会,红色线条表示跳转已经实现! 5.如果刚载入程序,在附近就有一个 CALL 的,我们就 F7 跟进去,不然程序很容易跑飞,这样很快就能到程序的 OEP 6.在跟踪的时候,如果运行到某个 CALL 程序就运行的
3、,就在这个 CALL 中 F7 进入 7.一般有很大的跳转(大跨段) ,比如 jmp XXXXXX 或者 JE XXXXXX 或者有 RETN 的一般很快就会到程序的 OEP。Btw:在有些壳无法向下跟踪的时候,我们可以在附近找到没有实现的大跳转,右键“跟随”,然后 F2 下断,Shift+F9 运 行停在“跟随”的位置,再取消断点,继续 F8 单步跟踪。一般情况下可以轻松到达 OEP!方法二:ESP 定律法 ESP 定理脱壳(ESP 在 OD 的寄存器中,我们只要在命令行下 ESP 的硬件访问断点,就会一下来到程序的 OEP 了!) 1.开始就点 F8,注意观察 OD 右上角的寄存器中 ES
4、P 有没突现(变成红色) 。 (这只是一般情况下,更确切的说我们选择 的 ESP 值是关键句之后的第一个 ESP 值) 2.在命令行下:dd XXXXXXXX(指在当前代码中的 ESP 地址,或者是 hr XXXXXXXX),按回车! 3.选中下断的地址,断点-硬件访-WORD 断点。4.按一下 F9 运行程序,直接来到了跳转处,按下 F8,到达程序 OEP。方法三:内存镜像法 1:用 OD 打开软件! 2:点击选项调试选项异常,把里面的忽略全部上!CTRL+F2 重载下程序! 3:按 ALT+M,打开内存镜象,找到程序的第一个.rsrc.按 F2 下断点,然后按 SHIFT+F9 运行到断点
5、,接着再按 ALT+M,打 开内存镜象,找到程序的第一个.rsrc.上面的.CODE(也就是 00401000 处) ,按 F2 下断点!然后按 SHIFT+F9(或者是在 没异常情况下按 F9) ,直接到达程序 OEP!方法四:一步到达 OEP 1.开始按 Ctrl+F,输入:popad(只适合少数壳,包括 UPX,ASPACK 壳) ,然后按下 F2,F9 运行到此处 2.来到大跳转处,点下 F8,到达 OEP!方法五:最后一次异常法 1:用 OD 打开软件 2:点击选项调试选项异常,把里面的全部去掉!CTRL+F2 重载下程序 3:一开始程序就是一个跳转,在这里我们按 SHIFT+F9,
6、直到程序运行,记下从开始按 SHIFT+F9 到程序运行的次数 m! 4:CTRL+F2 重载程序,按 SHIFT+F9(这次按的次数为程序运行的次数 m-1 次) 5:在 OD 的右下角我们看见有一个“SE 句柄“,这时我们按 CTRL+G,输入 SE 句柄前的地址! 6:按 F2 下断点!然后按 SHIFT+F9 来到断点处! 7:去掉断点,按 F8 慢慢向下走! 8:到达程序的 OEP!方法六:模拟跟踪法 1:先试运行,跟踪一下程序,看有没有 SEH 暗桩之类 2:ALT+M 打开内存镜像,找到(包含=SFX,imports,relocations)3:地址为 xxx,如是我们在命令行输入 tc eip,xx 回车,正在跟踪 ing。 。Btw:大家在使用这个方法的时候,要理解他是要在怎么样的情况下才可以使用方法七:“SFX”法 1:设置 OD,忽略所有异常,也就是说异常选项卡里面都打上勾 2:切换到 SFX 选项卡,选择“字节模式跟踪实际入口(速度非常慢) ” ,确定。 3:重载程序(如果跳出是否“压缩代码?”选择“否” ,OD 直接到达 OEP)
