初學(xué)者用軟件脫殼基礎(chǔ)教程

.Net脫殼工具綠色版

• 類型：加殼脫殼大小：380KB語(yǔ)言：英文 評(píng)分：5.0
• 標(biāo)簽：

立即下載

初學(xué)者，打算學(xué)軟件破解，軟件漢化時(shí)有些需要脫殼，我按照這個(gè)脫殼教程學(xué)會(huì)了脫殼．對(duì)我來(lái)說(shuō)幫助最大，初學(xué)者一定要看呀．

一、概論

殼出于程序作者想對(duì)程序資源壓縮、注冊(cè)保護(hù)的目的，把殼分為壓縮殼和加密殼兩種
UPX ASPCAK TELOCK PELITE NSPACK ...
ARMADILLO ASPROTECT ACPROTECT EPE SVKP ...
顧名思義，壓縮殼只是為了減小程序體積對(duì)資源進(jìn)行壓縮，加密殼是程序輸入表等等進(jìn)行加密保護(hù)。當(dāng)然加密殼的保護(hù)能力要強(qiáng)得多！

二、常見(jiàn)脫殼方法

預(yù)備知識(shí)

1.PUSHAD （壓棧） 代表程序的入口點(diǎn),
2.POPAD （出棧） 代表程序的出口點(diǎn)，與PUSHAD想對(duì)應(yīng)，一般找到這個(gè)OEP就在附近
3.OEP：程序的入口點(diǎn)，軟件加殼就是隱藏了OEP（或者用了假的OEP/FOEP），只要我們找到程序真正的OEP，就可以立刻脫殼。

方法一：?jiǎn)尾礁�蹤�?br />1.用OD載入，點(diǎn)“不分析代碼！”
2.單步向下跟蹤F8，實(shí)現(xiàn)向下的跳。也就是說(shuō)向上的跳不讓其實(shí)現(xiàn)�。ㄍㄟ^(guò)F4）
3.遇到程序往回跳的（包括循環(huán)），我們?cè)谙乱痪浯�碼處按F4（或者右健單擊代碼，選擇斷點(diǎn)——>運(yùn)行到所選）
4.綠色線條表示跳轉(zhuǎn)沒(méi)實(shí)現(xiàn)，不用理會(huì)，紅色線條表示跳轉(zhuǎn)已經(jīng)實(shí)現(xiàn)！
5.如果剛載入程序，在附近就有一個(gè)CALL的，我們就F7跟進(jìn)去，不然程序很容易跑飛，這樣很快就能到程序的OEP
6.在跟蹤的時(shí)候，如果運(yùn)行到某個(gè)CALL程序就運(yùn)行的，就在這個(gè)CALL中F7進(jìn)入
7.一般有很大的跳轉(zhuǎn)（大跨段），比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN的一般很快就會(huì)到程序的OEP。

Btw:在有些殼無(wú)法向下跟蹤的時(shí)候，我們可以在附近找到?jīng)]有實(shí)現(xiàn)的大跳轉(zhuǎn)，右鍵-->“跟隨”,然后F2下斷，Shift+F9運(yùn)行停在“跟隨”的位置，再取消斷點(diǎn)，繼續(xù)F8單步跟蹤。一般情況下可以輕松到達(dá)OEP！

方法二：ESP定律法
ESP定理脫殼（ESP在OD的寄存器中，我們只要在命令行下ESP的硬件訪問(wèn)斷點(diǎn)，就會(huì)一下來(lái)到程序的OEP了！）
1.開(kāi)始就點(diǎn)F8，注意觀察OD右上角的寄存器中ESP有沒(méi)突現(xiàn)（變成紅色）。（這只是一般情況下，更確切的說(shuō)我們選擇的ESP值是關(guān)鍵句之后的第一個(gè)ESP值）
2.在命令行下：dd XXXXXXXX(指在當(dāng)前代碼中的ESP地址，或者是hr XXXXXXXX)，按回車！
3.選中下斷的地址，斷點(diǎn)--->硬件訪--->WORD斷點(diǎn)。
4.按一下F9運(yùn)行程序，直接來(lái)到了跳轉(zhuǎn)處，按下F8，到達(dá)程序OEP。

方法三：內(nèi)存鏡像法
1：用OD打開(kāi)軟件！
2：點(diǎn)擊選項(xiàng)——調(diào)試選項(xiàng)——異常，把里面的忽略全部√上！CTRL+F2重載下程序！
3：按ALT+M,打開(kāi)內(nèi)存鏡象，找到程序的第一個(gè).rsrc.按F2下斷點(diǎn)，然后按SHIFT+F9運(yùn)行到斷點(diǎn)，接著再按ALT+M,打開(kāi)內(nèi)存鏡象，找到程序的第一個(gè).rsrc.上面的.CODE（也就是00401000處），按F2下斷點(diǎn)！然后按SHIFT+F9（或者是在沒(méi)異常情況下按F9），直接到達(dá)程序OEP！


方法四：一步到達(dá)OEP
1.開(kāi)始按Ctrl+F,輸入：popad（只適合少數(shù)殼，包括UPX，ASPACK殼），然后按下F2，F(xiàn)9運(yùn)行到此處
2.來(lái)到大跳轉(zhuǎn)處，點(diǎn)下F8，到達(dá)OEP！

方法五：最后一次異常法
1：用OD打開(kāi)軟件
2：點(diǎn)擊選項(xiàng)——調(diào)試選項(xiàng)——異常，把里面的√全部去掉！CTRL+F2重載下程序
3：一開(kāi)始程序就是一個(gè)跳轉(zhuǎn)，在這里我們按SHIFT+F9，直到程序運(yùn)行，記下從開(kāi)始按SHIFT+F9到程序運(yùn)行的次數(shù)m！
4：CTRL+F2重載程序，按SHIFT+F9（這次按的次數(shù)為程序運(yùn)行的次數(shù)m-1次）
5：在OD的右下角我們看見(jiàn)有一個(gè)"SE 句柄"，這時(shí)我們按CTRL+G，輸入SE 句柄前的地址！
6：按F2下斷點(diǎn)！然后按SHIFT+F9來(lái)到斷點(diǎn)處！
7：去掉斷點(diǎn)，按F8慢慢向下走！
8：到達(dá)程序的OEP！

0040D3AF 61 popad
0040D3B0 75 08 jnz short 0040D3BA
0040D3B2 B8 01000000 mov eax, 1
0040D3B7 C2 0C00 retn 0C
0040D3BA 68 00000000 push 0
0040D3BF C3 retn


方法六：模擬跟蹤法
1：先試運(yùn)行，跟蹤一下程序，看有沒(méi)有SEH暗樁之類
2：ALT+M打開(kāi)內(nèi)存鏡像，找到（包含=SFX,imports,relocations）

內(nèi)存鏡像，項(xiàng)目 30
地址=0054B000
大小=00002000 (8192.)
Owner=check 00400000
區(qū)段=.aspack
包含=SFX,imports,relocations
類型=Imag 01001002
訪問(wèn)=R
初始訪問(wèn)=RWE

3：地址為0054B000，如是我們?cè)诿�令行輸入tc eip<0054B000,回車，正在跟蹤ing。。

Btw:大家在使用這個(gè)方法的時(shí)候，要理解他是要在怎么樣的情況下才可以使用

方法七：“SFX”法

1：設(shè)置OD，忽略所有異常，也就是說(shuō)異常選項(xiàng)卡里面都打上勾
2：切換到SFX選項(xiàng)卡，選擇“字節(jié)模式跟蹤實(shí)際入口（速度非常慢）”，確定。
3：重載程序（如果跳出是否“壓縮代碼？”選擇“否”，OD直接到達(dá)OEP）

Btw:這種方法不要濫用得好，鍛煉能力為妙。