-
-
[旧帖] [原创]菜鸟使用的脱壳方法,各位前辈请指教 0.00雪花
-
发表于: 2012-8-6 22:52 1298
-
PEncrypt V4.0
最后一次异常法
首先PEiD查壳,如图
有壳,为PEncrypt V4.0 Gamma/4.0 Phi
OD载入,进入“选项”一栏,然后点击“调试设置”,选中“异常”一项,然后把“忽略”下面的勾都去掉,如图
去掉之后OD重载(Ctrl+F2),在“插件”一栏,选择“OD调试隐藏插件”,再选“隐藏OD”看到界面如图
Shift+F9一直按,直到程序窗口弹出,要记住按了几次Shift+F9,我按了3次就弹出了窗口,如图
记住3次。然后OD重载,Shift+F9按3-1=2次,看堆栈窗口,如图
记住注释内容为“SE句柄”的数值=0040CCD7,到回主窗口,右键“转到”、“表达式”(Ctrl+G),输入“0040CCD7”确定,跳转到另一个界面,如图
然后在含有“SE句柄”的数值一栏F2下断点、Shift+F9(一定要这个,跳过异常)、取消断点,接着F8单步走就很快可以找到OEP=10CC。
然后用OD插件脱壳,用Import Fix 修复程序看看能不能运行
不行,修复之后也不行,这是,用LordPE 重建PE,在这之前先按“设置”
把重建项的前六个选项勾上,确定。按“重建PE”,选中已脱壳修复的程序打开,然后确定。
最后看看效果
可以打开了。
最后一次异常法
首先PEiD查壳,如图
有壳,为PEncrypt V4.0 Gamma/4.0 Phi
OD载入,进入“选项”一栏,然后点击“调试设置”,选中“异常”一项,然后把“忽略”下面的勾都去掉,如图
去掉之后OD重载(Ctrl+F2),在“插件”一栏,选择“OD调试隐藏插件”,再选“隐藏OD”看到界面如图
Shift+F9一直按,直到程序窗口弹出,要记住按了几次Shift+F9,我按了3次就弹出了窗口,如图
记住3次。然后OD重载,Shift+F9按3-1=2次,看堆栈窗口,如图
记住注释内容为“SE句柄”的数值=0040CCD7,到回主窗口,右键“转到”、“表达式”(Ctrl+G),输入“0040CCD7”确定,跳转到另一个界面,如图
然后在含有“SE句柄”的数值一栏F2下断点、Shift+F9(一定要这个,跳过异常)、取消断点,接着F8单步走就很快可以找到OEP=10CC。
然后用OD插件脱壳,用Import Fix 修复程序看看能不能运行
不行,修复之后也不行,这是,用LordPE 重建PE,在这之前先按“设置”
把重建项的前六个选项勾上,确定。按“重建PE”,选中已脱壳修复的程序打开,然后确定。
最后看看效果
可以打开了。
赞赏
赞赏
雪币:
留言:
