315技术社区's Archiver

咨询客服QQ:604164

政政 发表于 2008-4-4 01:13

菜鸟脱壳宝典

[size=4]Upack 0.3.9 beta2s -> Dwing
1.ESP定律
2.利有工具查到其OEP,Ctrl+G。输入地址回车。F4,到OEP。

UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
1.Ctrl+F 输入popad,F4到此.F8向下走,遇到回跳,F4过。大跳转之后就是OEP。

32Lite 0.03a -> Oleg Prokhorov
ESP定律

Aspack
ESP定律

Ctrl+F 输入popad,回车,接着找,直到看到下面这个特征,一个popad+两个return就好,F8到push ebp,脱壳
POPAD
JNZ SHORT 0.005633BA
MOV EAX,1
RETN 0C
PUSH 0
RETN



PECompact 1.40 - 1.45 -> Jeremy Collake
PECompact 2.x -> Jeremy Collake [Overlay]
单步跟踪(F7与F8结合),跟踪到大的跳转之后,出现PUSH EBP,即到OEP
(要点,大跳转要跟随)


MEW 11 SE 1.2 -> NorthFox/HCC
ESP定律

nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping
ESP定律


EZIP 1.0 -> Jonathan Clark [Overlay]
ESP定律

JDPack 1.x / JDProtect 0.9 -> TLZJ18 Software
ESP定律

PE Pack 1.0 -> ANAKiN
ESP定律

WWPack32 1.x -> Piotr Warezak
ESP定律

PEDiminisher 0.1 -> Teraphy
ESP定律    此壳脱完后依然查不出何种语言编写,但通过查前后文件大小与查看区段,可知脱壳成功

DxPack V0.86 -> Dxd *
ESP定律

FSG1.33
OD载入,CTRL+B搜索5655,上面紧接的转跳地址就是OEP了
CTRL+G直接到OEP,F4,然后DUMP并修复
最后就是优化一下大小

方法2:单步向下走,直到出现注释窗口出kernel32.GetProcAddress,下断bp GetProcAddress F9,F2取消断点,Ctrl+F9返回,F8,再F8回到主程序领空。往下单步走,看到一个跳转未实现的行,Ctrl+G 输入后面地址,Ctrl+A。分析完,脱壳。


FSG 2.0 -> bart/xt
F8或F7单步一到几步,直到出现类似下列类似情况:
0041A27C    004001E8   FSG.004001E8
0041A280    004001DC   FSG.004001DC
0041A284    004001DE   FSG.004001DE
0041A288    004010CC   FSG.004010CC
0041A28C > 7C801D77   kernel32.LoadLibraryA
0041A290 > 7C80AC28   kernel32.GetProcAddress

Ctrl+G 输入 kernel32.LoadLibraryA上面的地址。F4.脱壳。

ASProtect 2.1x SKE -> Alexey Solodovnikov
Alt+O=>异常=>关闭所有“忽略所有异常选项”
Shift+F9直到程序运行,记住按下次数。Ctrl+F2,Shift+F9,次数为"运行次数-1",Alt+M,找到CODE段,Shift+F9.F8到大跳转后,脱壳。一般情况下都要修复。

PEncrypt 4.0 Gamma / 4.0 Phi -> junkcode [Overlay]
Alt+O=>异常=>关闭所有“忽略所有异常选项”
Shift+F9直到程序运行,记住按下次数。Ctrl+F2,Shift+F9,次数为"运行次数-1".Ctrl+G 输入"0040CCD7   SE处理程序"中的0040CCD7,F2,Shift+F9.F2取消断点,F8一直跟到大跳转之后。
0013FFC0    0040CCD7   SE处理程序



yoda's cryptor 1.2
yoda's Protector 1.3 -> Ashkbiz Danehkar
内存映射法,第一次断点下在“资源段”,第二次断点下在“代码段”。有可能需要F8几下,大跳转后出现PUSH ebp即可脱壳。


tElock 0.98b1 -> tE!
此壳SEH比较多,shift+F9极限数-1次,看堆栈窗口,ctrl+G输入最后一次SEH下的地址。F2下断,shift+F9.F8单步向下走,遇近Call F7过。大跳转之后就是OEP。不过需要修复IAT,比较麻烦


PolyEnE 0.01+ by Lennart Hedlund
内存映射法,F2到数据段  

Virogen Crypt 0.75[/size][size=4]
ESP定律,需要修复[/size]
[size=4][/size]
[size=4]相关工具:[/size]
[url=http://www.hacker315.com/soft/html/5933.html][color=#3737c8]超级巡警[/color][color=red]脱壳[/color][color=#3737c8]机1.5.Misswe专版[/color][/url]:[url=http://www.hacker315.com/soft/html/5933.html]http://www.hacker315.com/soft/html/5933.html[/url]
[url=http://www.hacker315.com/soft/html/5035.html][color=#3737c8]TMD/WL[/color][color=red]脱壳[/color][color=#3737c8]机 [/color][/url]:[url]http://www.hacker315.com/soft/html/5035.html[/url]
[url=http://www.hacker315.com/soft/html/4716.html][color=#3737c8]易语言通用[/color][color=red]脱壳[/color][color=#3737c8]机(无NAG版)[/color][/url]:[url]http://www.hacker315.com/soft/html/4716.html[/url]
[url=http://www.hacker315.com/soft/html/3665.html][color=#3737c8]虚拟机自动[/color][color=red]脱壳[/color][color=#3737c8]机 V1.0 [/color][/url]:[url]http://www.hacker315.com/soft/html/3665.html[/url]
[url=http://www.hacker315.com/soft/html/3583.html][color=#3737c8]手动[/color][color=red]脱壳[/color][color=#3737c8]的七种基本方法——学习器[/color][/url]:[url]http://www.hacker315.com/soft/html/3583.html[/url]
[url=http://www.hacker315.com/soft/html/5822.html][color=#3737c8]Themida[/color][color=red]脱壳[/color][color=#3737c8]机1.0中文版 [/color][/url]:[url]http://www.hacker315.com/soft/html/5822.html[/url]


相关动画:
[url=http://www.hacker315.com/donghua/html/5710.html][color=#3737c8]PI2.3.1未知壳语音[/color][color=red]脱壳[/color][color=#3737c8]教程 [/color][/url]:[url=http://www.hacker315.com/donghua/html/5710.html]http://www.hacker315.com/donghua/html/5710.html[/url]
[url=http://www.hacker315.com/donghua/html/5088.html][color=#3737c8]手动[/color][color=red]脱壳[/color][color=#3737c8]之Ezip [/color][/url]:[url=http://www.hacker315.com/donghua/html/5088.html]http://www.hacker315.com/donghua/html/5088.html[/url]
[url=http://www.hacker315.com/donghua/html/3807.html][color=#3737c8][推荐]ESP定律[/color][color=red]脱壳[/color][color=#3737c8]详解 [/color][/url]:[url=http://www.hacker315.com/donghua/html/3807.html]http://www.hacker315.com/donghua/html/3807.html[/url]
[url=http://www.hacker315.com/donghua/html/3784.html][color=#3737c8][推荐]手动[/color][color=red]脱壳[/color][color=#3737c8]系列2--脱ASPARK2.12壳 [/color][/url]:[url=http://www.hacker315.com/donghua/html/3784.html]http://www.hacker315.com/donghua/html/3784.html[/url]

[url=http://www.hacker315.com/donghua/html/3783.html][color=#3737c8][推荐]手动[/color][color=red]脱壳[/color][color=#3737c8]系列1--脱PE Pack 1.0壳[/color][/url]:[url=http://www.hacker315.com/donghua/html/3783.html]http://www.hacker315.com/donghua/html/3783.html[/url]
[url=http://www.hacker315.com/donghua/html/3463.html][color=#3737c8]几种常用[/color][color=red]脱壳[/color][color=#3737c8]方法讲解[/color][/url]:[url=http://www.hacker315.com/donghua/html/3463.html]http://www.hacker315.com/donghua/html/3463.html[/url]


更多动画和工具请登陆[url=http://www.hacker315.com]www.hacker315.com[/url]搜索


[size=4][/size]

hacky 发表于 2008-4-6 19:58

好东西~~~谢谢政政了!!!:lol :lol

316012248 发表于 2008-4-8 21:13

有点难。。:L 不懂啊

j1992512 发表于 2008-4-20 22:38

好东西谢谢
希望继续
以后就在上面混了

heiketian10 发表于 2008-5-1 01:10

好东西啊,谢谢政哥啊!学习了!!;)

amtf 发表于 2008-5-5 13:31

~~~谢谢政政了:kiss: :kiss:

trnepwq5221 发表于 2008-7-13 14:17

我都不知道脱壳是什么意思,或者有什么用

Super丶帥帥 发表于 2008-7-27 19:13

不会。可以教教我吗

wang_fhn 发表于 2008-9-23 14:26

不懂

本人水平有限,看不懂

页: [1]
咨询客服QQ:604164

Powered by Discuz! Archiver 6.1.0  © 2001-2007 Comsenz Inc.