[注意]关于如何脱壳 (新手会遇到的问题），欢迎能者指导！-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [注意]关于如何脱壳 (新手会遇到的问题），欢迎能者指导！ 0.00雪花

发表于: 2010-5-1 15:53 1805

[旧帖] [注意]关于如何脱壳 (新手会遇到的问题），欢迎能者指导！ 0.00雪花

svf

2010-5-1 15:53

1805

跟黑鹰学破解的体会：

方法一：单步跟踪法
1.用OD载入，点“不分析代码！”
2.单步向下跟踪F8，实现向下的跳。也就是说向上的跳不让其实现！（通过F4）
3.遇到程序往回跳的（包括循环），我们在下一句代码处按F4（或者右健单击代码，选择断点——>运行到所选）
4.绿色线条表示跳转没实现，不用理会，红色线条表示跳转已经实现！
5.如果刚载入程序，在附近就有一个CALL的，我们就F7跟进去，不然程序很容易跑飞，这样很快就能到程序的OEP
6.在跟踪的时候，如果运行到某个CALL程序就运行的，就在这个CALL中F7进入
7.一般有很大的跳转（大跨段），比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN的一般很快就会到程序的OEP。

Btw:在有些壳无法向下跟踪的时候，我们可以在附近找到没有实现的大跳转，右键-->“跟随”,然后F2下断，Shift+F9运行停在“跟随”的位置，再取消断点，继续F8单步跟踪。一般情况下可以轻松到达OEP！

问题：点“不分析代码！” ，选项在哪儿？

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (25) 1 2 ▶
aliuwr 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 111 粉丝 0 关注私信	aliuwr 2 楼就是用OD打开程序后,按一下空格 2010-5-1 16:10 0
svf 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	svf 3 楼按你的操作出现了这个，是这样吗？谢谢！上传的附件： 1.gif （5.35kb，108次下载） 2010-5-1 16:32 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 4 楼有的OD是修改版的或者设置了加强选项的是没有分析代码提示的，我用的就是。上传的附件： flyODBG.jpg （17.32kb，111次下载） 2010-5-1 16:38 0
aliuwr 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 111 粉丝 0 关注私信	aliuwr 5 楼不是这个,注意看左下角的提示有可能我和你用的不是一个修改版我用的是Ollydbg 2010-5-1 16:53 0
svf 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	svf 6 楼 [QUOTE=knightsoft;800486]有的OD是修改版的或者设置了加强选项的是没有分析代码提示的，我用的就是。 [/QUOTE]若如此就忽略“问题：点“不分析代码！” ”这个问题？ 2010-5-1 17:47 0
svf 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	svf 7 楼在应用附加功能选全局颜色时操作失误，使得内存出了问题，调试不能继续，该怎样处理？谢谢！（如此操作会使程序退出不完整) 上传的附件： 3.gif （47.90kb，108次下载） 2010-5-1 18:42 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 8 楼我的OD是修改版，没有分析代码提示的。你的这个问题用关闭OD，重新载入，删除全部断点，然后关闭再打开OD应该可以的。 2010-5-1 18:52 0
svf 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	svf 9 楼竟没有断电可删！调试中以使电脑两次重启，问题仍未解决！上传的附件： 4.gif （44.59kb，104次下载） 2010-5-1 19:25 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 10 楼恢复原来的olldbg.INI文件吧 2010-5-1 19:45 0
svf 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	svf 11 楼程序来源于黑鹰破解50课的pj01.rar，我多次删除解压文件，再解压，可能你说的这个问题不存在。 2010-5-1 20:57 0
svf 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	svf 12 楼再次重启电脑后，用“esp”定理脱壳成功，但获取输入表后却显示异常，下一步该怎么办？谢谢！上传的附件： 5.gif （46.72kb，96次下载） 2010-5-1 22:12 0
svf 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	svf 13 楼 [QUOTE=svf;800583]再次重启电脑后，用“esp”定理脱壳成功，但获取输入表后却显示异常，下一步该怎么办？谢谢！[/QUOTE] 调用lordpe做pe调试，获得成功！终于破解成功！！太高兴了！！1 上传的附件： 6.gif （40.00kb，94次下载） 2010-5-1 22:26 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 14 楼脱ASPACK没这么麻烦吧，还是工具的问题。解决了就好。 2010-5-1 22:47 0
svf 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	svf 15 楼跟黑鹰学破解的体会：方法二：ESP定律法 ESP定理脱壳（ESP在OD的寄存器中，我们只要在命令行下ESP的硬件访问断点，就会一下来到程序的OEP了！） 1.开始就点F8，注意观察OD右上角的寄存器中ESP有没突现（变成红色）。（这只是一般情况下，更确切的说我们选择的ESP值是关键句之后的第一个ESP值） 2.在命令行下：dd XXXXXXXX(指在当前代码中的ESP地址)，按回车！ 3.选中下断的地址，断点--->硬件访--->WORD断点。 4.按一下F9运行程序，直接来到了跳转处，按下F8，到达程序OEP。 5.或者是在命令行下：hr XXXXXXXX，按回车！ 6.按一下F9运行程序，直接来到了跳转处，按下F8，到达程序OEP。关键是：“esp”值的确定：更确切的说我们选择的ESP值是关键句之后的第一个ESP值，是红色。接下来就是在oep处点右键，用OD自带插件脱壳，用pe工具调试与修复脱壳得到的新启动程序。 2010-5-2 09:50 0
柳絮初飘雪币： 397 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	柳絮初飘 16 楼 “不分析代码”代码指的是：一开始OD载入加壳程序会弹出提示框，代码是压缩或者加密的，这时它让你选择是否分析代码的，一般情况下我们选“N，否”，不知道楼主明白没有 2010-5-2 11:09 0
drean 雪币： 16 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 58 粉丝 0 关注私信	drean 17 楼 ................................................ 2010-5-2 11:30 0
svf 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	svf 18 楼方法三：内存镜像法 1：打开od软件！ 2：点击选项——调试选项——异常，把里面的忽略全部√上（最下面的不勾）！CTRL+F2重载欲脱壳程序！ 3：按ALT+M,打开内存镜象，找到程序的第一个.rsrc.按F2下断点，然后按SHIFT+F9运行到断点，接着再按ALT+M,打开内存镜象，找到程序的第一个.rsrc.上面的.CODE（也就是00401000处），按F2下断点！然后按SHIFT+F9（或者是在没异常情况下按F9），直接到达程序OEP！注意：1）点击选项——调试选项——异常，把里面的忽略全部√上（最下面的不勾）！ 2）找到程序的第一个.rsrc.上面的.CODE。上传的附件： 1.gif （13.27kb，17次下载） 2.gif （26.82kb，16次下载） 2010-5-2 12:15 0
svf 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	svf 19 楼方法四：一步到达OEP 1.开始按Ctrl+F,输入：popad（只适合少数壳，包括UPX，ASPACK壳），然后按下F2，F9运行到此处 2.来到大跳转处，点下F8，到达OEP！注意：命令操作时，下面的不要勾选。上传的附件： 1.gif （6.36kb，18次下载） 2010-5-2 12:35 0
svf 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	svf 20 楼由于问题终没解决，在执行f9运行时，再次出现异常，不能进行，请教该怎办？上传的附件： 4.gif （37.57kb，16次下载） 2010-5-2 13:03 0
SENTEMUL 雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 174 粉丝 0 关注私信	SENTEMUL 21 楼刚学!有点明白明白了! 2010-5-3 17:17 0
hnxhzq 雪币： 248 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 42 粉丝 0 关注私信	hnxhzq 22 楼 2010-10-2 14:12 0
jfttc 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	jfttc 23 楼呵呵，，不错不错。学习了！ 2010-10-7 22:53 0
holiwood 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 146 粉丝 0 关注私信	holiwood 24 楼看了也学习了一点。 2010-10-8 06:52 0
nonoboby 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 39 粉丝 0 关注私信	nonoboby 25 楼十一休假结束报到啦 2010-10-8 08:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

svf

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (25) 1 2 ▶
aliuwr 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 111 粉丝 0 关注私信	aliuwr 2 楼就是用OD打开程序后,按一下空格 2010-5-1 16:10 0
svf 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	svf 3 楼按你的操作出现了这个，是这样吗？谢谢！上传的附件： 1.gif （5.35kb，108次下载） 2010-5-1 16:32 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 4 楼有的OD是修改版的或者设置了加强选项的是没有分析代码提示的，我用的就是。上传的附件： flyODBG.jpg （17.32kb，111次下载） 2010-5-1 16:38 0
aliuwr 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 111 粉丝 0 关注私信	aliuwr 5 楼不是这个,注意看左下角的提示有可能我和你用的不是一个修改版我用的是Ollydbg 2010-5-1 16:53 0
svf 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	svf 6 楼 [QUOTE=knightsoft;800486]有的OD是修改版的或者设置了加强选项的是没有分析代码提示的，我用的就是。 [/QUOTE]若如此就忽略“问题：点“不分析代码！” ”这个问题？ 2010-5-1 17:47 0
svf 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	svf 7 楼在应用附加功能选全局颜色时操作失误，使得内存出了问题，调试不能继续，该怎样处理？谢谢！（如此操作会使程序退出不完整) 上传的附件： 3.gif （47.90kb，108次下载） 2010-5-1 18:42 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 8 楼我的OD是修改版，没有分析代码提示的。你的这个问题用关闭OD，重新载入，删除全部断点，然后关闭再打开OD应该可以的。 2010-5-1 18:52 0
svf 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	svf 9 楼竟没有断电可删！调试中以使电脑两次重启，问题仍未解决！上传的附件： 4.gif （44.59kb，104次下载） 2010-5-1 19:25 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 10 楼恢复原来的olldbg.INI文件吧 2010-5-1 19:45 0
svf 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	svf 11 楼程序来源于黑鹰破解50课的pj01.rar，我多次删除解压文件，再解压，可能你说的这个问题不存在。 2010-5-1 20:57 0
svf 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	svf 12 楼再次重启电脑后，用“esp”定理脱壳成功，但获取输入表后却显示异常，下一步该怎么办？谢谢！上传的附件： 5.gif （46.72kb，96次下载） 2010-5-1 22:12 0
svf 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	svf 13 楼 [QUOTE=svf;800583]再次重启电脑后，用“esp”定理脱壳成功，但获取输入表后却显示异常，下一步该怎么办？谢谢！[/QUOTE] 调用lordpe做pe调试，获得成功！终于破解成功！！太高兴了！！1 上传的附件： 6.gif （40.00kb，94次下载） 2010-5-1 22:26 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 14 楼脱ASPACK没这么麻烦吧，还是工具的问题。解决了就好。 2010-5-1 22:47 0
svf 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	svf 15 楼跟黑鹰学破解的体会：方法二：ESP定律法 ESP定理脱壳（ESP在OD的寄存器中，我们只要在命令行下ESP的硬件访问断点，就会一下来到程序的OEP了！） 1.开始就点F8，注意观察OD右上角的寄存器中ESP有没突现（变成红色）。（这只是一般情况下，更确切的说我们选择的ESP值是关键句之后的第一个ESP值） 2.在命令行下：dd XXXXXXXX(指在当前代码中的ESP地址)，按回车！ 3.选中下断的地址，断点--->硬件访--->WORD断点。 4.按一下F9运行程序，直接来到了跳转处，按下F8，到达程序OEP。 5.或者是在命令行下：hr XXXXXXXX，按回车！ 6.按一下F9运行程序，直接来到了跳转处，按下F8，到达程序OEP。关键是：“esp”值的确定：更确切的说我们选择的ESP值是关键句之后的第一个ESP值，是红色。接下来就是在oep处点右键，用OD自带插件脱壳，用pe工具调试与修复脱壳得到的新启动程序。 2010-5-2 09:50 0
柳絮初飘雪币： 397 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	柳絮初飘 16 楼 “不分析代码”代码指的是：一开始OD载入加壳程序会弹出提示框，代码是压缩或者加密的，这时它让你选择是否分析代码的，一般情况下我们选“N，否”，不知道楼主明白没有 2010-5-2 11:09 0
drean 雪币： 16 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 58 粉丝 0 关注私信	drean 17 楼 ................................................ 2010-5-2 11:30 0
svf 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	svf 18 楼方法三：内存镜像法 1：打开od软件！ 2：点击选项——调试选项——异常，把里面的忽略全部√上（最下面的不勾）！CTRL+F2重载欲脱壳程序！ 3：按ALT+M,打开内存镜象，找到程序的第一个.rsrc.按F2下断点，然后按SHIFT+F9运行到断点，接着再按ALT+M,打开内存镜象，找到程序的第一个.rsrc.上面的.CODE（也就是00401000处），按F2下断点！然后按SHIFT+F9（或者是在没异常情况下按F9），直接到达程序OEP！注意：1）点击选项——调试选项——异常，把里面的忽略全部√上（最下面的不勾）！ 2）找到程序的第一个.rsrc.上面的.CODE。上传的附件： 1.gif （13.27kb，17次下载） 2.gif （26.82kb，16次下载） 2010-5-2 12:15 0
svf 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	svf 19 楼方法四：一步到达OEP 1.开始按Ctrl+F,输入：popad（只适合少数壳，包括UPX，ASPACK壳），然后按下F2，F9运行到此处 2.来到大跳转处，点下F8，到达OEP！注意：命令操作时，下面的不要勾选。上传的附件： 1.gif （6.36kb，18次下载） 2010-5-2 12:35 0
svf 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	svf 20 楼由于问题终没解决，在执行f9运行时，再次出现异常，不能进行，请教该怎办？上传的附件： 4.gif （37.57kb，16次下载） 2010-5-2 13:03 0
SENTEMUL 雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 174 粉丝 0 关注私信	SENTEMUL 21 楼刚学!有点明白明白了! 2010-5-3 17:17 0
hnxhzq 雪币： 248 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 42 粉丝 0 关注私信	hnxhzq 22 楼 2010-10-2 14:12 0
jfttc 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	jfttc 23 楼呵呵，，不错不错。学习了！ 2010-10-7 22:53 0
holiwood 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 146 粉丝 0 关注私信	holiwood 24 楼看了也学习了一点。 2010-10-8 06:52 0
nonoboby 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 39 粉丝 0 关注私信	nonoboby 25 楼十一休假结束报到啦 2010-10-8 08:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复