-
-
[旧帖] [原创]菜鸟脱壳入门实例演示[求邀请码] 0.00雪花
-
发表于: 2010-1-5 21:24
-
刚接触脱壳,自己脱的第一个壳,和大家分享
工具:
查壳工具:PEiD0.93
手动脱壳:Ollydbg
加壳的记事本(为了学习入门找了个简单的)
心得:用Olldbg载入程序,脱壳程序里面会有有好多循环。对付循环时,只能让程序往前运行,基本不能让它往回跳,要想法跳出循环圈。
壳: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
用od载入F8一路走
第一个断点!
在下面 mov EAX, 1 设置断点(F4)
继续F8,往下到这里。
在这里:MOV EAX,DWORD PTR DS:[EDX] ;F4 设置断点(nop不能设置断点)
F8 走着:
同理:MOV EDI,ESI (F4)
=======================
0040E993 89F7 MOV EDI,ESI ;断点
================================
看到了吧!出口 popad
POPAD 再设断点(F4)
================================
走!!F8 到程序真正入口了吧!
在 PUSH EBP 上右键用OllyDump脱壳调试进程
如图:
点脱壳啊!ok了!
看看结果吧!Microsoft Visual C++ 6.0 SPx Method 1
打完收工!
工具:
查壳工具:PEiD0.93
手动脱壳:Ollydbg
加壳的记事本(为了学习入门找了个简单的)
心得:用Olldbg载入程序,脱壳程序里面会有有好多循环。对付循环时,只能让程序往前运行,基本不能让它往回跳,要想法跳出循环圈。
壳: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
用od载入F8一路走
第一个断点!
在下面 mov EAX, 1 设置断点(F4)
继续F8,往下到这里。
在这里:MOV EAX,DWORD PTR DS:[EDX] ;F4 设置断点(nop不能设置断点)
F8 走着:
同理:MOV EDI,ESI (F4)
=======================
0040E993 89F7 MOV EDI,ESI ;断点
================================
看到了吧!出口 popad
POPAD 再设断点(F4)
================================
走!!F8 到程序真正入口了吧!
在 PUSH EBP 上右键用OllyDump脱壳调试进程
如图:
点脱壳啊!ok了!
看看结果吧!Microsoft Visual C++ 6.0 SPx Method 1
打完收工!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
thanks for your sharing...
|
|
|
托壳还没学习过,lz的文章让我觉得知其然而不知其所以然
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
 没想到用ESP定律法两三步就脱了 初学者,只知道这1种方法脱壳,看来今天运气不错  
|
|
|
|
|
|
|
|
|
都是舍不得钱的主,俺也是
|
|
|
|
|
|
|
|
|
|
|
|
没看明白~~唉 我太菜了
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
