初學者用軟件脫殼基礎教程

.Net脫殼工具綠色版

• 類型：加殼脫殼大�。�380KB語言：英文 評分：5.0
• 標簽：

立即下載

初學者，打算學軟件破解，軟件漢化時有些需要脫殼，我按照這個脫殼教程學會了脫殼．對我來說幫助最大，初學者一定要看呀．

一、概論

殼出于程序作者想對程序資源壓縮、注冊保護的目的，把殼分為壓縮殼和加密殼兩種
UPX ASPCAK TELOCK PELITE NSPACK ...
ARMADILLO ASPROTECT ACPROTECT EPE SVKP ...
顧名思義，壓縮殼只是為了減小程序體積對資源進行壓縮，加密殼是程序輸入表等等進行加密保護。當然加密殼的保護能力要強得多！

二、常見脫殼方法

預備知識

1.PUSHAD （壓棧） 代表程序的入口點,
2.POPAD （出棧） 代表程序的出口點，與PUSHAD想對應，一般找到這個OEP就在附近
3.OEP：程序的入口點，軟件加殼就是隱藏了OEP（或者用了假的OEP/FOEP），只要我們找到程序真正的OEP，就可以立刻脫殼。

方法一：單步跟蹤法
1.用OD載入，點“不分析代碼！”
2.單步向下跟蹤F8，實現(xiàn)向下的跳。也就是說向上的跳不讓其實現(xiàn)�。ㄍㄟ^F4）
3.遇到程序往回跳的（包括循環(huán)），我們在下一句代碼處按F4（或者右健單擊代碼，選擇斷點——>運行到所選）
4.綠色線條表示跳轉沒實現(xiàn)，不用理會，紅色線條表示跳轉已經實現(xiàn)！
5.如果剛載入程序，在附近就有一個CALL的，我們就F7跟進去，不然程序很容易跑飛，這樣很快就能到程序的OEP
6.在跟蹤的時候，如果運行到某個CALL程序就運行的，就在這個CALL中F7進入
7.一般有很大的跳轉（大跨段），比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN的一般很快就會到程序的OEP。

Btw:在有些殼無法向下跟蹤的時候，我們可以在附近找到沒有實現(xiàn)的大跳轉，右鍵-->“跟隨”,然后F2下斷，Shift+F9運行停在“跟隨”的位置，再取消斷點，繼續(xù)F8單步跟蹤。一般情況下可以輕松到達OEP！

方法二：ESP定律法
ESP定理脫殼（ESP在OD的寄存器中，我們只要在命令行下ESP的硬件訪問斷點，就會一下來到程序的OEP了！）
1.開始就點F8，注意觀察OD右上角的寄存器中ESP有沒突現(xiàn)（變成紅色）。（這只是一般情況下，更確切的說我們選擇的ESP值是關鍵句之后的第一個ESP值）
2.在命令行下：dd XXXXXXXX(指在當前代碼中的ESP地址，或者是hr XXXXXXXX)，按回車！
3.選中下斷的地址，斷點--->硬件訪--->WORD斷點。
4.按一下F9運行程序，直接來到了跳轉處，按下F8，到達程序OEP。

方法三：內存鏡像法
1：用OD打開軟件！
2：點擊選項——調試選項——異常，把里面的忽略全部√上！CTRL+F2重載下程序！
3：按ALT+M,打開內存鏡象，找到程序的第一個.rsrc.按F2下斷點，然后按SHIFT+F9運行到斷點，接著再按ALT+M,打開內存鏡象，找到程序的第一個.rsrc.上面的.CODE（也就是00401000處），按F2下斷點！然后按SHIFT+F9（或者是在沒異常情況下按F9），直接到達程序OEP！


方法四：一步到達OEP
1.開始按Ctrl+F,輸入：popad（只適合少數殼，包括UPX，ASPACK殼），然后按下F2，F(xiàn)9運行到此處
2.來到大跳轉處，點下F8，到達OEP！

方法五：最后一次異常法
1：用OD打開軟件
2：點擊選項——調試選項——異常，把里面的√全部去掉！CTRL+F2重載下程序
3：一開始程序就是一個跳轉，在這里我們按SHIFT+F9，直到程序運行，記下從開始按SHIFT+F9到程序運行的次數m！
4：CTRL+F2重載程序，按SHIFT+F9（這次按的次數為程序運行的次數m-1次）
5：在OD的右下角我們看見有一個"SE 句柄"，這時我們按CTRL+G，輸入SE 句柄前的地址！
6：按F2下斷點！然后按SHIFT+F9來到斷點處！
7：去掉斷點，按F8慢慢向下走！
8：到達程序的OEP！

0040D3AF 61 popad
0040D3B0 75 08 jnz short 0040D3BA
0040D3B2 B8 01000000 mov eax, 1
0040D3B7 C2 0C00 retn 0C
0040D3BA 68 00000000 push 0
0040D3BF C3 retn


方法六：模擬跟蹤法
1：先試運行，跟蹤一下程序，看有沒有SEH暗樁之類
2：ALT+M打開內存鏡像，找到（包含=SFX,imports,relocations）

內存鏡像，項目 30
地址=0054B000
大小=00002000 (8192.)
Owner=check 00400000
區(qū)段=.aspack
包含=SFX,imports,relocations
類型=Imag 01001002
訪問=R
初始訪問=RWE

3：地址為0054B000，如是我們在命令行輸入tc eip<0054B000,回車，正在跟蹤ing。。

Btw:大家在使用這個方法的時候，要理解他是要在怎么樣的情況下才可以使用

方法七：“SFX”法

1：設置OD，忽略所有異常，也就是說異常選項卡里面都打上勾
2：切換到SFX選項卡，選擇“字節(jié)模式跟蹤實際入口（速度非常慢）”，確定。
3：重載程序（如果跳出是否“壓縮代碼？”選擇“否”，OD直接到達OEP）

Btw:這種方法不要濫用得好，鍛煉能力為妙。