-
-
[旧帖] [原创][推荐]本人的脱壳总结 0.00雪花
-
发表于: 2013-1-21 14:53
-
普通壳的脱壳方法和脱壳技巧,叫跟我一样刚刚接触脱壳的新手少走弯路!
这篇文章,是我在看了脱壳动画教程的时候,所得的脱壳总结;里面包括了各种壳的脱壳方法,最重要的是注释了什么壳用什么方法脱是最省时省力的
方法。
毕竟是一篇笔记,所以在顺序是或许会有些杂乱无章的感觉。还是请刚接触脱壳的朋友们将就一下,一个一个字的把它从笔记本是移到电脑上也不容易。
首先,先对下文中将要讲到的几个地方做一下说明,避免一些刚接触脱壳的朋友因为不清楚它们的意思,而把时间花费在baidu和google上。
常见脱壳知识:
1.PUSHAD (压栈) 代表程序的入口点
2.POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个,说明OEP可能就在附近
3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP),
只要我们找到程序真正的OEP,就可以立刻脱壳。
脱壳的几种方法:
方法一:单步跟踪
方法二:ESP定律脱壳
方法三:内存跟踪
方法四:跟踪出口法
方法五:最后一次异常法
=================================================================================================
第二部分,需要注意的几处重点
ESP脱壳时,对于有关键提示的(如:Pushw 或 Pushad ),一般选择关键提示下面那行地址中的ESP。
懒方法脱壳,这种方法对压缩壳有效;对加密壳作用不大。
“懒方法脱壳“在已开始的设置时需要注意(简化的设置步骤,详细的在文章最下面):
1、首先,要忽略所有异常 //忽略所有异常——这个是必须的
2、设置:”调试选项“→”SFX“→”字节模式跟踪实际入口(速度非常慢)“
3、载入相关程序。 //当载入后的程序停止后,所停址的那个地址就是我们Dunp加壳文件的那个地址
Hr命令:”hr“下的是字节断点。用ESP脱壳时,多数都是用的这个。
=================================================================================================
第三部分,这篇文章的骨干部分!
第一节 手脱EZIP 1.0 的壳
因为这个壳会修改PE头 用OD脱壳后即使修复了也不能运行。所以最简单的方法是采用 LordPE 这个工具脱壳。具体步骤:
首先,运行目标软件程序(不是用OD,而是想像平时使用一样,双击打开)→从 LordPE 列表中选中目标程序的进程→点”鼠标右键“ 选择”完整脱壳“。最后用 ImportREC 进行修复。
第二节 手脱wwpack 的壳
这个壳跟上面说的 EZIP 1.0 的壳一样,OD脱壳 ImportREC 进行修复 程序还是无法运行。所以还是要用 LordPE 进行脱壳工作。
具体步骤 : 从 LordPE 列表中选中目标程序的进程→点”鼠标右键“ 选择”完整脱壳“。最后用 ImportREC 进行修复 。发现还是不能运行!
最关键的地方到了:用 LordPE 这个软件自带的重建 PE 修复功能;重建PE头,重建后,即可运行!
第三节 手脱 UPX 壳的捷径
用我们已开始提到的”关键提示“。
具体操作:OD载入程序后,直接Ctrl+F,输入 POPAD ;点确定后 来到这个命令所在的位置。按F2,在这个地方下断;再按F9(运行);停止后,按F2取消刚才下的断点。再F8单步!
第四节 手脱 ASPCK 的壳
脱这个壳用ESP定律,还是相对快捷的。可以用载入程序后,第二行(是一个CALL)那里面的ESP。 //多数程序这个壳的第二行都是一个CALL
在左OD左下角的命令行中,输入命令:hr ESP地址(如 hr 0012FFA4);F9 运行。然后从OD”调试菜单“中的”硬件断点“这一项将刚才下的断点删除,这点很重要!最后F8单步!
第五节 用 内存镜像法 手脱FSG 1.33 和 PCshrink 的壳
1、忽略所有异常
2、Alt+M 打开内存镜像,找到第一个 ”.rsrc“
3、F2(下断),F9(运行)
4、Alt+M 打开内存镜像,找到”Code“段;
5、F2(下断),Shift+F9【这点一定要记住,切记是 Shift+F9】运行;
6、先按F8,再按下F4,直接到达OEP
第六节 手脱 JDpack 壳 和 PEpack 1.0 的壳 最简单的方法
脱这个壳推荐使用内存镜像法;
我在用ESP脱壳的时候发现:ESP定律的速度和单步跟踪的速度差不多,所以在这里就不推荐了。相反,脱 PEpack 1.0 壳 的时候,用ESP定律是最快捷的方法。
第七节 手脱 PEDiminisher ;Dxpack 0.86 ;32lite 0.03a ;PEtite 2.2 这几种壳的简单方法
脱PEDiminisher ;Dxpack 0.86 ;这两种壳的时候,直接用之前讲到的ESP定律,即可完美脱壳。命令:【hr ESP地址】
用ESP脱 32lite 0.03a 后 要注意的是,需要用 ImportREC 这个工具进行修复。如:00410D50 在输入框中输入 10D50 就可以了 【004舍去】
在用ESP定律脱 PEtite 2.2 的时候,推荐选择 Pushad 下面那行地址中的 ESP
第八节 手脱 Exestealth 2.72 的壳
看到这或许大家会沉迷与ESP定律当中,在这里提醒大家:Exestealth 2.72 的壳 用我们一开始提到的”懒方法脱壳“是最简单的;具体步骤,可以参考文章第二部分。
第九节 手脱nspack(北斗)1.3 的壳
1、ESP定律,命令:hr ESP地址 【脱壳后程序不能正常运行】
2、用 ImportREC 这个工具进行修复,修复后程序正常运行。
第十节 另类方法脱 ASPack 2.12R 壳的技巧
Ctrl+S 搜索:retn 0C【retn和零C 中间有个空格】 找到后向下看,如下:
retn 0C
push 0 //在 retn 0C 的下面
retn //在这个地方按 F2(下断) ;F9(运行)
停止后按 一下 F8(单步);再按一下 F7(跟进) 观看这看不懂?没关系,要是我,我也看不懂,所以我早有准备;详细步骤,如下(这是某程序的一部分):
程序中断后来到这里:
0046B3B8 C2 oc00 retn 0C //开始F8(单步)
0046B3B9 68 64584500 push registra.00455864 //这里调用来自 00455864 (OEP)
0046B3C0 C3 retn //F7(跟进) 步入到OEP
注意:这种壳ESP不能直接脱。
=============================================================================
脱壳的几种方法 详细操作步骤
常见脱壳知识:
1.PUSHAD (压栈) 代表程序的入口点
2.POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个,说明OEP可能就在附近
3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP),
只要我们找到程序真正的OEP,就可以立刻脱壳。
方法一:单步跟踪
1.用OD载入,不分析代码!
2.单步向下跟踪F8,是向下跳的让它实现
3.遇到程序往回跳的(包括循环),我们在下一句代码处按F4(或者右健单击代码,选择断点——运行到所选)
4.绿色线条表示跳转没实现,不用理会,红色线条表示跳转已经实现!
5.如果刚载入程序,在附近就有一个CALL的,我们就F7跟进去,这样很快就能到程序的OEP
6.在跟踪的时候,如果运行到某个CALL程序就运行的,就在这个CALL中F7进入
7.一般有很大的跳转,比如 jmp XXXXXX 或者 je XXXXXX 或者有RETE的一般很快就会到程序的OEP。
我们看看能不能运行,可以运行,是Microsoft Visual Basic 5.0 / 6.0的程序
下面我们看第二种方法
方法二:ESP定律脱壳(ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了)
1.用Od载入后就按F8,注意观察OD右上角的寄存器中ESP有没出现
2.在命令行下:dd 0012FFA4(0012FFA4指在当前代码中的ESP地址),按回车!
3.选种下断的地址,下硬件访问WORD断点。
4.按一下F9运行程序,直接来到了跳转处,按下F8,到达程序OEP,脱壳
可以运行,说明我们脱壳成功,下面看第三种方法
方法三:内存跟踪:
1:用OD打开软件!
2:点击选项——调试选项——异常,把里面的忽略全部勾上,CTRL+F2重新加载程序
3:按ALT+M,打开内存镜象,找到第一个.rsrc.按F2下断点,然后按SHIFT+F9运行到断点,接着再按ALT+M, 打开内存镜象,找到.RSRC上面的CODE,按F2下断点,然后按SHIFT+F9,直接到
达程序OEP,脱壳
不知道为什么我这台电脑不是直接到达oep,可能是系统问题,我这里还要向下单步几次
同样可以运行,看下面一种方法
方法四:跟踪出口法
一步到达OEP(前辈们总结的经验)
1.开始按Ctrl+F,输入:popad(只适合少数壳,包括ASPACK壳),然后按下F2,F9运行到此处
2.来到大跳转处,点下F8,脱壳
可以运行,看下一种方法
方法五:最后一次异常法 (这种脱壳方法在我这台电脑上无法演示,可能是因为系统问题吧,不过大家跟着下面的步骤做就可以找到OEP了)
1:用OD打开软件
2:点击选项——调试选项——异常,把里面的勾全部去掉,CTRL+F2重新加载程序
3:在这里我们按SHIFT+F9,直到程序运行,记下从开始按SHIFT+F9到程序运行的次数
4:CTRL+F2重新加载程序,按SHIFT+F9(次数为程序运行的次数-1次)
5:在OD的右下角我们看见有一个SE 句柄,这时我们按CTRL+G,输入SE 句柄前的地址!
6:按F2下断点,然后按SHIFT+F9来到断点处!
7:去掉断点,按F8慢慢向下走
8:到达程序的OEP,脱壳
最后一种方法
方法六:懒人脱壳法 (由于这种脱壳方法速度比较慢,这里我就不再演示了,大家跟着下面的步骤就可以找到oep了)
1、用od载入软件
2、点击选项——调试选项——SFX
3、选中“字节方式跟踪真正入口处(速度非常慢)”
4、重新载入软件
5、od开始自动跟踪入口点
6、直接到达oep,脱壳(适用于少数壳)
=============================================================================
希望能给刚和我一样刚刚接触脱壳的新朋友一些帮助,同时希望前辈们批评指正。
这篇文章,是我在看了脱壳动画教程的时候,所得的脱壳总结;里面包括了各种壳的脱壳方法,最重要的是注释了什么壳用什么方法脱是最省时省力的
方法。
毕竟是一篇笔记,所以在顺序是或许会有些杂乱无章的感觉。还是请刚接触脱壳的朋友们将就一下,一个一个字的把它从笔记本是移到电脑上也不容易。
首先,先对下文中将要讲到的几个地方做一下说明,避免一些刚接触脱壳的朋友因为不清楚它们的意思,而把时间花费在baidu和google上。
常见脱壳知识:
1.PUSHAD (压栈) 代表程序的入口点
2.POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个,说明OEP可能就在附近
3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP),
只要我们找到程序真正的OEP,就可以立刻脱壳。
脱壳的几种方法:
方法一:单步跟踪
方法二:ESP定律脱壳
方法三:内存跟踪
方法四:跟踪出口法
方法五:最后一次异常法
=================================================================================================
第二部分,需要注意的几处重点
ESP脱壳时,对于有关键提示的(如:Pushw 或 Pushad ),一般选择关键提示下面那行地址中的ESP。
懒方法脱壳,这种方法对压缩壳有效;对加密壳作用不大。
“懒方法脱壳“在已开始的设置时需要注意(简化的设置步骤,详细的在文章最下面):
1、首先,要忽略所有异常 //忽略所有异常——这个是必须的
2、设置:”调试选项“→”SFX“→”字节模式跟踪实际入口(速度非常慢)“
3、载入相关程序。 //当载入后的程序停止后,所停址的那个地址就是我们Dunp加壳文件的那个地址
Hr命令:”hr“下的是字节断点。用ESP脱壳时,多数都是用的这个。
=================================================================================================
第三部分,这篇文章的骨干部分!
第一节 手脱EZIP 1.0 的壳
因为这个壳会修改PE头 用OD脱壳后即使修复了也不能运行。所以最简单的方法是采用 LordPE 这个工具脱壳。具体步骤:
首先,运行目标软件程序(不是用OD,而是想像平时使用一样,双击打开)→从 LordPE 列表中选中目标程序的进程→点”鼠标右键“ 选择”完整脱壳“。最后用 ImportREC 进行修复。
第二节 手脱wwpack 的壳
这个壳跟上面说的 EZIP 1.0 的壳一样,OD脱壳 ImportREC 进行修复 程序还是无法运行。所以还是要用 LordPE 进行脱壳工作。
具体步骤 : 从 LordPE 列表中选中目标程序的进程→点”鼠标右键“ 选择”完整脱壳“。最后用 ImportREC 进行修复 。发现还是不能运行!
最关键的地方到了:用 LordPE 这个软件自带的重建 PE 修复功能;重建PE头,重建后,即可运行!
第三节 手脱 UPX 壳的捷径
用我们已开始提到的”关键提示“。
具体操作:OD载入程序后,直接Ctrl+F,输入 POPAD ;点确定后 来到这个命令所在的位置。按F2,在这个地方下断;再按F9(运行);停止后,按F2取消刚才下的断点。再F8单步!
第四节 手脱 ASPCK 的壳
脱这个壳用ESP定律,还是相对快捷的。可以用载入程序后,第二行(是一个CALL)那里面的ESP。 //多数程序这个壳的第二行都是一个CALL
在左OD左下角的命令行中,输入命令:hr ESP地址(如 hr 0012FFA4);F9 运行。然后从OD”调试菜单“中的”硬件断点“这一项将刚才下的断点删除,这点很重要!最后F8单步!
第五节 用 内存镜像法 手脱FSG 1.33 和 PCshrink 的壳
1、忽略所有异常
2、Alt+M 打开内存镜像,找到第一个 ”.rsrc“
3、F2(下断),F9(运行)
4、Alt+M 打开内存镜像,找到”Code“段;
5、F2(下断),Shift+F9【这点一定要记住,切记是 Shift+F9】运行;
6、先按F8,再按下F4,直接到达OEP
第六节 手脱 JDpack 壳 和 PEpack 1.0 的壳 最简单的方法
脱这个壳推荐使用内存镜像法;
我在用ESP脱壳的时候发现:ESP定律的速度和单步跟踪的速度差不多,所以在这里就不推荐了。相反,脱 PEpack 1.0 壳 的时候,用ESP定律是最快捷的方法。
第七节 手脱 PEDiminisher ;Dxpack 0.86 ;32lite 0.03a ;PEtite 2.2 这几种壳的简单方法
脱PEDiminisher ;Dxpack 0.86 ;这两种壳的时候,直接用之前讲到的ESP定律,即可完美脱壳。命令:【hr ESP地址】
用ESP脱 32lite 0.03a 后 要注意的是,需要用 ImportREC 这个工具进行修复。如:00410D50 在输入框中输入 10D50 就可以了 【004舍去】
在用ESP定律脱 PEtite 2.2 的时候,推荐选择 Pushad 下面那行地址中的 ESP
第八节 手脱 Exestealth 2.72 的壳
看到这或许大家会沉迷与ESP定律当中,在这里提醒大家:Exestealth 2.72 的壳 用我们一开始提到的”懒方法脱壳“是最简单的;具体步骤,可以参考文章第二部分。
第九节 手脱nspack(北斗)1.3 的壳
1、ESP定律,命令:hr ESP地址 【脱壳后程序不能正常运行】
2、用 ImportREC 这个工具进行修复,修复后程序正常运行。
第十节 另类方法脱 ASPack 2.12R 壳的技巧
Ctrl+S 搜索:retn 0C【retn和零C 中间有个空格】 找到后向下看,如下:
retn 0C
push 0 //在 retn 0C 的下面
retn //在这个地方按 F2(下断) ;F9(运行)
停止后按 一下 F8(单步);再按一下 F7(跟进) 观看这看不懂?没关系,要是我,我也看不懂,所以我早有准备;详细步骤,如下(这是某程序的一部分):
程序中断后来到这里:
0046B3B8 C2 oc00 retn 0C //开始F8(单步)
0046B3B9 68 64584500 push registra.00455864 //这里调用来自 00455864 (OEP)
0046B3C0 C3 retn //F7(跟进) 步入到OEP
注意:这种壳ESP不能直接脱。
=============================================================================
脱壳的几种方法 详细操作步骤
常见脱壳知识:
1.PUSHAD (压栈) 代表程序的入口点
2.POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个,说明OEP可能就在附近
3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP),
只要我们找到程序真正的OEP,就可以立刻脱壳。
方法一:单步跟踪
1.用OD载入,不分析代码!
2.单步向下跟踪F8,是向下跳的让它实现
3.遇到程序往回跳的(包括循环),我们在下一句代码处按F4(或者右健单击代码,选择断点——运行到所选)
4.绿色线条表示跳转没实现,不用理会,红色线条表示跳转已经实现!
5.如果刚载入程序,在附近就有一个CALL的,我们就F7跟进去,这样很快就能到程序的OEP
6.在跟踪的时候,如果运行到某个CALL程序就运行的,就在这个CALL中F7进入
7.一般有很大的跳转,比如 jmp XXXXXX 或者 je XXXXXX 或者有RETE的一般很快就会到程序的OEP。
我们看看能不能运行,可以运行,是Microsoft Visual Basic 5.0 / 6.0的程序
下面我们看第二种方法
方法二:ESP定律脱壳(ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了)
1.用Od载入后就按F8,注意观察OD右上角的寄存器中ESP有没出现
2.在命令行下:dd 0012FFA4(0012FFA4指在当前代码中的ESP地址),按回车!
3.选种下断的地址,下硬件访问WORD断点。
4.按一下F9运行程序,直接来到了跳转处,按下F8,到达程序OEP,脱壳
可以运行,说明我们脱壳成功,下面看第三种方法
方法三:内存跟踪:
1:用OD打开软件!
2:点击选项——调试选项——异常,把里面的忽略全部勾上,CTRL+F2重新加载程序
3:按ALT+M,打开内存镜象,找到第一个.rsrc.按F2下断点,然后按SHIFT+F9运行到断点,接着再按ALT+M, 打开内存镜象,找到.RSRC上面的CODE,按F2下断点,然后按SHIFT+F9,直接到
达程序OEP,脱壳
不知道为什么我这台电脑不是直接到达oep,可能是系统问题,我这里还要向下单步几次
同样可以运行,看下面一种方法
方法四:跟踪出口法
一步到达OEP(前辈们总结的经验)
1.开始按Ctrl+F,输入:popad(只适合少数壳,包括ASPACK壳),然后按下F2,F9运行到此处
2.来到大跳转处,点下F8,脱壳
可以运行,看下一种方法
方法五:最后一次异常法 (这种脱壳方法在我这台电脑上无法演示,可能是因为系统问题吧,不过大家跟着下面的步骤做就可以找到OEP了)
1:用OD打开软件
2:点击选项——调试选项——异常,把里面的勾全部去掉,CTRL+F2重新加载程序
3:在这里我们按SHIFT+F9,直到程序运行,记下从开始按SHIFT+F9到程序运行的次数
4:CTRL+F2重新加载程序,按SHIFT+F9(次数为程序运行的次数-1次)
5:在OD的右下角我们看见有一个SE 句柄,这时我们按CTRL+G,输入SE 句柄前的地址!
6:按F2下断点,然后按SHIFT+F9来到断点处!
7:去掉断点,按F8慢慢向下走
8:到达程序的OEP,脱壳
最后一种方法
方法六:懒人脱壳法 (由于这种脱壳方法速度比较慢,这里我就不再演示了,大家跟着下面的步骤就可以找到oep了)
1、用od载入软件
2、点击选项——调试选项——SFX
3、选中“字节方式跟踪真正入口处(速度非常慢)”
4、重新载入软件
5、od开始自动跟踪入口点
6、直接到达oep,脱壳(适用于少数壳)
=============================================================================
希望能给刚和我一样刚刚接触脱壳的新朋友一些帮助,同时希望前辈们批评指正。
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
