首页
社区
课程
招聘
[旧帖] [分享]菜鸟脱壳宝典 0.00雪花
发表于: 2007-5-26 10:35 11462

[旧帖] [分享]菜鸟脱壳宝典 0.00雪花

2007-5-26 10:35
11462
本人菜鸟很久了,现在依然是菜鸟,总结一些脱壳手段,希望更多的人受益。具体到某个壳可能不能按我的方法脱掉,但我所列出的脱壳方法,在我脱的时候都是好使的。看雪给了我很多,该是回报的时候了。再重申一次,我列出的都是思路,希望起到抛砖引玉、举一反三的作用。

Upack 0.3.9 beta2s -> Dwing
1.ESP定律
2.利有工具查到其OEP,Ctrl+G。输入地址回车。F4,到OEP。

UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
1.Ctrl+F 输入popad,F4到此.F8向下走,遇到回跳,F4过。大跳转之后就是OEP。

32Lite 0.03a -> Oleg Prokhorov
ESP定律

Aspack
ESP定律

Ctrl+F 输入popad,回车,接着找,直到看到下面这个特征,一个popad+两个return就好,F8到push ebp,脱壳
POPAD
JNZ SHORT 0.005633BA
MOV EAX,1
RETN 0C
PUSH 0
RETN

PECompact 1.40 - 1.45 -> Jeremy Collake
PECompact 2.x -> Jeremy Collake [Overlay]
单步跟踪(F7与F8结合),跟踪到大的跳转之后,出现PUSH EBP,即到OEP
(要点,大跳转要跟随)

MEW 11 SE 1.2 -> NorthFox/HCC
ESP定律

nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping
ESP定律

EZIP 1.0 -> Jonathan Clark [Overlay]
ESP定律

JDPack 1.x / JDProtect 0.9 -> TLZJ18 Software
ESP定律

PE Pack 1.0 -> ANAKiN
ESP定律

WWPack32 1.x -> Piotr Warezak
ESP定律

PEDiminisher 0.1 -> Teraphy
ESP定律   此壳脱完后依然查不出何种语言编写,但通过查前后文件大小与查看区段,可知脱壳成功

DxPack V0.86 -> Dxd *
ESP定律

FSG1.33
OD载入,CTRL+B搜索5655,上面紧接的转跳地址就是OEP了
CTRL+G直接到OEP,F4,然后DUMP并修复
最后就是优化一下大小

方法2:单步向下走,直到出现注释窗口出kernel32.GetProcAddress,下断bp GetProcAddress F9,F2取消断点,Ctrl+F9返回,F8,再F8回到主程序领空。往下单步走,看到一个跳转未实现的行,Ctrl+G 输入后面地址,Ctrl+A。分析完,脱壳。

FSG 2.0 -> bart/xt
F8或F7单步一到几步,直到出现类似下列类似情况:
0041A27C   004001E8  FSG.004001E8
0041A280   004001DC  FSG.004001DC
0041A284   004001DE  FSG.004001DE
0041A288   004010CC  FSG.004010CC
0041A28C > 7C801D77  kernel32.LoadLibraryA
0041A290 > 7C80AC28  kernel32.GetProcAddress

Ctrl+G 输入 kernel32.LoadLibraryA上面的地址。F4.脱壳。

ASProtect 2.1x SKE -> Alexey Solodovnikov
Alt+O=>异常=>关闭所有“忽略所有异常选项”
Shift+F9直到程序运行,记住按下次数。Ctrl+F2,Shift+F9,次数为"运行次数-1",Alt+M,找到CODE段,Shift+F9.F8到大跳转后,脱壳。一般情况下都要修复。

PEncrypt 4.0 Gamma / 4.0 Phi -> junkcode [Overlay]
Alt+O=>异常=>关闭所有“忽略所有异常选项”
Shift+F9直到程序运行,记住按下次数。Ctrl+F2,Shift+F9,次数为"运行次数-1".Ctrl+G 输入"0040CCD7  SE处理程序"中的0040CCD7,F2,Shift+F9.F2取消断点,F8一直跟到大跳转之后。
0013FFC0   0040CCD7  SE处理程序

yoda's cryptor 1.2
yoda's Protector 1.3 -> Ashkbiz Danehkar
内存映射法,第一次断点下在“资源段”,第二次断点下在“代码段”。有可能需要F8几下,大跳转后出现PUSH ebp即可脱壳。

tElock 0.98b1 -> tE!
此壳SEH比较多,shift+F9极限数-1次,看堆栈窗口,ctrl+G输入最后一次SEH下的地址。F2下断,shift+F9.F8单步向下走,遇近Call F7过。大跳转之后就是OEP。不过需要修复IAT,比较麻烦

PolyEnE 0.01+ by Lennart Hedlund
内存映射法,F2到数据段  

Virogen Crypt 0.75
ESP定律,需要修复

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (30)
雪    币: 4441
活跃值: (805)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
2
谢谢楼主,不过有些整理的粗糙了点,能不能详细整理一下
2007-5-26 16:04
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
谢谢楼主                !!
2007-5-26 16:35
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
脱壳后不能运行怎么办,会自动退出,用PEID查看加密方式有CRC32和MD5
2007-5-26 23:14
0
雪    币: 177
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
呵呵
都不错的哦~~
2007-5-26 23:26
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
有点不详细,希望能做个教程。
2007-5-27 11:25
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
好,有空我再仔细整理一下,为什么服务
2007-5-28 10:01
0
雪    币: 164
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
8
呵呵,好文,顶一下
2007-5-28 13:20
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
谢谢,多多交流,多多学习......

多写出好文章
2007-5-28 13:24
0
雪    币: 215
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
10
哇~~看来楼主玩过的壳不少啊,感谢整理啊
另外楼主能整理或介绍下通用的脱壳方法么,比如在遇到不知名的壳时应该如何下手呢?
2007-5-28 13:48
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
学习了,不知道Packman该如何脱??
2007-5-28 17:54
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
能讲下原理吗
2007-5-28 23:26
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
新兵到,向楼主学习,向大家学习。。
2007-5-29 11:17
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
请问有高手吗 ?
2007-5-29 11:50
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ltr
15
谢谢楼主分享。
2007-5-29 12:56
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
谢谢楼主的详细介绍。我虽然是新手,但会努力。
2007-5-29 14:12
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
希望楼主发表脱“ASProtect V2.X Registered”的方法!
2007-5-29 17:55
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
路过。感谢楼主啊
2007-5-29 20:02
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
谢谢!我支持……
2007-5-29 21:16
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
对啊.好象有些用peid查都查不到的。显示什么也找不到的信息,那么我们该怎么下手呢
2007-5-30 11:38
0
雪    币: 405
活跃值: (10)
能力值: ( LV9,RANK:1130 )
在线值:
发帖
回帖
粉丝
21
支持继续更新。~~~
2007-5-30 12:39
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
写的不够详细啊
2007-5-30 19:25
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
喜欢这样的文章啊,但是好象有点简单了啊,我是菜鸟,支持总结性的文章
2007-5-30 20:51
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
燕国留痕........
2007-5-30 22:17
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
脱壳后下一步作什么?有时侯脱壳了不能运行啊
2007-5-30 22:22
0
游客
登录 | 注册 方可回帖
返回
//