yodas Crypter

Yoda's Crypter是一款來自國外的加殼工具，關(guān)注度較少，所以相對(duì)國內(nèi)的大多數(shù)加殼工具成功率較高。下載漢化版（圖4）并運(yùn)行，在軟件界面中，單擊“文件”后面的按鈕，載入木馬文件，然后勾選“CRC自檢驗(yàn)破壞時(shí)退出程序”、“反脫殼（脫殼時(shí)死機(jī)）”、“刪除入口點(diǎn)信息”和“API偽裝”。

這么做的好處是，可以提高殼的保護(hù)能力和偽裝能力，抵抗殺毒軟件的查殺，效果非常明顯。而另外兩項(xiàng)作用不大，副作用還不小，建議大家不要勾選。最后，點(diǎn)擊“生成”按鈕，一個(gè)加殼免殺的木馬就炮制出來了。

yoda's Crypter特點(diǎn)：

這個(gè)殼總體來說特點(diǎn)還是比較鮮明的，所以也比較好脫。首先運(yùn)行后會(huì)來到
一堆的“00 00 00 00”的代碼這里異常，這時(shí)我們就得到了下個(gè)SE的地址，CTRL+G，下斷，
SHIFT+F9，這里就是這個(gè)殼最有特點(diǎn)的地方了！前面一堆什么不管，最后三句是：
5F                  pop edi  //在這里的時(shí)候，EDI的值就是OEP了
C9                  leave
C3                  retn
講到這個(gè)殼就順便提一下仙劍殼，其實(shí)仙劍殼就是在前面加了一堆花指令的yoda's Crypter殼
前面一路SHIFT+F9也會(huì)來到一個(gè)很熟悉的地方：一堆“00000000”，不過仙劍殼會(huì)多點(diǎn)其他的
數(shù)字，但是沒什么大差別，對(duì)付的方法都是一模一樣的，這里就不多說了。

脫殼教程：

第一步：查殼，yoda's cryptor 1.2

第二步：OD載入，忽略所有異常。

打開內(nèi)存鏡像
內(nèi)存鏡像，項(xiàng)目 17
地址=00407000
大小=00005000 (20480.)
Owner=Yoda's_C 00400000
區(qū)段=.rsrc
包含=resources
類型=Imag 01001002
訪問=R
初始訪問=RWE

F2下斷，F(xiàn)9運(yùn)行

繼續(xù)打開內(nèi)存鏡像
內(nèi)存鏡像，項(xiàng)目 17
地址=00401000
大小=00004000 (16384.)
Owner=Yoda's_C 00400000
區(qū)段=.text
包含=code
類型=Imag 01001008
訪問=RW CopyOnWr
初始訪問=RWE

F2下斷，F(xiàn)9運(yùn)行

OK，到了OEP了~~dump出來！

發(fā)現(xiàn)2，不能夠運(yùn)行~~修復(fù)就OK了~~