[分享]菜鸟脱壳宝典-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [分享]菜鸟脱壳宝典 0.00雪花

发表于: 2007-5-26 10:35 11382

[旧帖] [分享]菜鸟脱壳宝典 0.00雪花

bilyzhang

2007-5-26 10:35

11382

本人菜鸟很久了，现在依然是菜鸟，总结一些脱壳手段，希望更多的人受益。具体到某个壳可能不能按我的方法脱掉，但我所列出的脱壳方法，在我脱的时候都是好使的。看雪给了我很多，该是回报的时候了。再重申一次，我列出的都是思路，希望起到抛砖引玉、举一反三的作用。

Upack 0.3.9 beta2s -> Dwing
1.ESP定律
2.利有工具查到其OEP，Ctrl+G。输入地址回车。F4，到OEP。

UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
1.Ctrl+F 输入popad,F4到此.F8向下走，遇到回跳，F4过。大跳转之后就是OEP。

32Lite 0.03a -> Oleg Prokhorov
ESP定律

Aspack
ESP定律

Ctrl+F 输入popad,回车，接着找，直到看到下面这个特征，一个popad+两个return就好，F8到push ebp,脱壳
POPAD
JNZ SHORT 0.005633BA
MOV EAX,1
RETN 0C
PUSH 0
RETN

PECompact 1.40 - 1.45 -> Jeremy Collake
PECompact 2.x -> Jeremy Collake [Overlay]
单步跟踪(F7与F8结合)，跟踪到大的跳转之后，出现PUSH EBP,即到OEP
(要点，大跳转要跟随)

MEW 11 SE 1.2 -> NorthFox/HCC
ESP定律

nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping
ESP定律

EZIP 1.0 -> Jonathan Clark [Overlay]
ESP定律

JDPack 1.x / JDProtect 0.9 -> TLZJ18 Software
ESP定律

PE Pack 1.0 -> ANAKiN
ESP定律

WWPack32 1.x -> Piotr Warezak
ESP定律

PEDiminisher 0.1 -> Teraphy
ESP定律此壳脱完后依然查不出何种语言编写，但通过查前后文件大小与查看区段，可知脱壳成功

DxPack V0.86 -> Dxd *
ESP定律

FSG1.33
OD载入，CTRL+B搜索5655，上面紧接的转跳地址就是OEP了
CTRL+G直接到OEP，F4，然后DUMP并修复
最后就是优化一下大小

方法2：单步向下走，直到出现注释窗口出kernel32.GetProcAddress，下断bp GetProcAddress F9,F2取消断点，Ctrl+F9返回,F8,再F8回到主程序领空。往下单步走，看到一个跳转未实现的行，Ctrl+G 输入后面地址，Ctrl+A。分析完，脱壳。

FSG 2.0 -> bart/xt
F8或F7单步一到几步，直到出现类似下列类似情况：
0041A27C 004001E8  FSG.004001E8
0041A280 004001DC  FSG.004001DC
0041A284 004001DE  FSG.004001DE
0041A288 004010CC  FSG.004010CC
0041A28C > 7C801D77  kernel32.LoadLibraryA
0041A290 > 7C80AC28  kernel32.GetProcAddress

Ctrl+G 输入 kernel32.LoadLibraryA上面的地址。F4.脱壳。

ASProtect 2.1x SKE -> Alexey Solodovnikov
Alt+O=>异常=>关闭所有“忽略所有异常选项”
Shift+F9直到程序运行，记住按下次数。Ctrl+F2,Shift+F9，次数为"运行次数-1",Alt+M,找到CODE段,Shift+F9.F8到大跳转后，脱壳。一般情况下都要修复。

PEncrypt 4.0 Gamma / 4.0 Phi -> junkcode [Overlay]
Alt+O=>异常=>关闭所有“忽略所有异常选项”
Shift+F9直到程序运行，记住按下次数。Ctrl+F2,Shift+F9，次数为"运行次数-1".Ctrl+G 输入"0040CCD7  SE处理程序"中的0040CCD7,F2,Shift+F9.F2取消断点，F8一直跟到大跳转之后。
0013FFC0 0040CCD7  SE处理程序

yoda's cryptor 1.2
yoda's Protector 1.3 -> Ashkbiz Danehkar
内存映射法，第一次断点下在“资源段”，第二次断点下在“代码段”。有可能需要F8几下，大跳转后出现PUSH ebp即可脱壳。

tElock 0.98b1 -> tE!
此壳SEH比较多，shift+F9极限数-1次，看堆栈窗口，ctrl+G输入最后一次SEH下的地址。F2下断，shift+F9.F8单步向下走，遇近Call F7过。大跳转之后就是OEP。不过需要修复IAT,比较麻烦

PolyEnE 0.01+ by Lennart Hedlund
内存映射法，F2到数据段

Virogen Crypt 0.75
ESP定律，需要修复

[课程]Linux pwn 探索篇！

收藏・3

免费・0

支持

最新回复 (30) 1 2 ▶
windtrace 雪币： 4441 活跃值： (805) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 266 粉丝 0 关注私信	windtrace 2 楼谢谢楼主，不过有些整理的粗糙了点，能不能详细整理一下 2007-5-26 16:04 0
appleyd 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	appleyd 3 楼谢谢楼主 !! 2007-5-26 16:35 0
xmqoo 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	xmqoo 4 楼脱壳后不能运行怎么办,会自动退出，用PEID查看加密方式有CRC32和MD5 2007-5-26 23:14 0
ysfeagle 雪币： 177 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 278 粉丝 0 关注私信	ysfeagle 5 楼呵呵都不错的哦~~ 2007-5-26 23:26 0
蠕虫雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	蠕虫 6 楼有点不详细，希望能做个教程。 2007-5-27 11:25 0
bilyzhang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 20 粉丝 0 关注私信	bilyzhang 7 楼好，有空我再仔细整理一下，为什么服务 2007-5-28 10:01 0
河边渔者雪币： 164 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 276 粉丝 0 关注私信	河边渔者 1 8 楼呵呵，好文，顶一下 2007-5-28 13:20 0
ahublue 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 79 粉丝 0 关注私信	ahublue 9 楼谢谢,多多交流,多多学习...... 多写出好文章 2007-5-28 13:24 0
kiddik 雪币： 215 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	kiddik 1 10 楼哇～～看来楼主玩过的壳不少啊，感谢整理啊另外楼主能整理或介绍下通用的脱壳方法么，比如在遇到不知名的壳时应该如何下手呢？ 2007-5-28 13:48 0
nyaodemm 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 27 粉丝 0 关注私信	nyaodemm 11 楼学习了,不知道Packman该如何脱?? 2007-5-28 17:54 0
hkcat 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	hkcat 12 楼能讲下原理吗 2007-5-28 23:26 0
innper 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	innper 13 楼新兵到，向楼主学习，向大家学习。。 2007-5-29 11:17 0
如冰雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	如冰 14 楼请问有高手吗？ 2007-5-29 11:50 0
ltr 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 80 粉丝 0 关注私信	ltr 15 楼谢谢楼主分享。 2007-5-29 12:56 0
aronfb 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	aronfb 16 楼谢谢楼主的详细介绍。我虽然是新手，但会努力。 2007-5-29 14:12 0
davidd 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	davidd 17 楼希望楼主发表脱“ASProtect V2.X Registered”的方法！ 2007-5-29 17:55 0
jimwin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	jimwin 18 楼路过。感谢楼主啊 2007-5-29 20:02 0
CNFlei 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 30 粉丝 0 关注私信	CNFlei 19 楼谢谢！我支持…… 2007-5-29 21:16 0
jimwin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	jimwin 20 楼对啊.好象有些用peid查都查不到的。显示什么也找不到的信息,那么我们该怎么下手呢 2007-5-30 11:38 0
binbinbin 雪币： 405 活跃值： (10) 能力值： ( LV9，RANK：1130 ) 在线值：发帖 51 回帖 690 粉丝 0 关注私信	binbinbin 28 21 楼支持继续更新。~~~ 2007-5-30 12:39 0
sdfcfy 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 231 粉丝 0 关注私信	sdfcfy 22 楼写的不够详细啊 2007-5-30 19:25 0
godzilla 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	godzilla 23 楼喜欢这样的文章啊，但是好象有点简单了啊，我是菜鸟，支持总结性的文章 2007-5-30 20:51 0
nishishui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	nishishui 24 楼燕国留痕........ 2007-5-30 22:17 0
flystar 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 34 粉丝 0 关注私信	flystar 25 楼脱壳后下一步作什么?有时侯脱壳了不能运行啊 2007-5-30 22:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

bilyzhang

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (30) 1 2 ▶
windtrace 雪币： 4441 活跃值： (805) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 266 粉丝 0 关注私信	windtrace 2 楼谢谢楼主，不过有些整理的粗糙了点，能不能详细整理一下 2007-5-26 16:04 0
appleyd 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	appleyd 3 楼谢谢楼主 !! 2007-5-26 16:35 0
xmqoo 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	xmqoo 4 楼脱壳后不能运行怎么办,会自动退出，用PEID查看加密方式有CRC32和MD5 2007-5-26 23:14 0
ysfeagle 雪币： 177 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 278 粉丝 0 关注私信	ysfeagle 5 楼呵呵都不错的哦~~ 2007-5-26 23:26 0
蠕虫雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	蠕虫 6 楼有点不详细，希望能做个教程。 2007-5-27 11:25 0
bilyzhang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 20 粉丝 0 关注私信	bilyzhang 7 楼好，有空我再仔细整理一下，为什么服务 2007-5-28 10:01 0
河边渔者雪币： 164 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 276 粉丝 0 关注私信	河边渔者 1 8 楼呵呵，好文，顶一下 2007-5-28 13:20 0
ahublue 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 79 粉丝 0 关注私信	ahublue 9 楼谢谢,多多交流,多多学习...... 多写出好文章 2007-5-28 13:24 0
kiddik 雪币： 215 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	kiddik 1 10 楼哇～～看来楼主玩过的壳不少啊，感谢整理啊另外楼主能整理或介绍下通用的脱壳方法么，比如在遇到不知名的壳时应该如何下手呢？ 2007-5-28 13:48 0
nyaodemm 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 27 粉丝 0 关注私信	nyaodemm 11 楼学习了,不知道Packman该如何脱?? 2007-5-28 17:54 0
hkcat 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	hkcat 12 楼能讲下原理吗 2007-5-28 23:26 0
innper 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	innper 13 楼新兵到，向楼主学习，向大家学习。。 2007-5-29 11:17 0
如冰雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	如冰 14 楼请问有高手吗？ 2007-5-29 11:50 0
ltr 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 80 粉丝 0 关注私信	ltr 15 楼谢谢楼主分享。 2007-5-29 12:56 0
aronfb 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	aronfb 16 楼谢谢楼主的详细介绍。我虽然是新手，但会努力。 2007-5-29 14:12 0
davidd 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	davidd 17 楼希望楼主发表脱“ASProtect V2.X Registered”的方法！ 2007-5-29 17:55 0
jimwin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	jimwin 18 楼路过。感谢楼主啊 2007-5-29 20:02 0
CNFlei 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 30 粉丝 0 关注私信	CNFlei 19 楼谢谢！我支持…… 2007-5-29 21:16 0
jimwin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	jimwin 20 楼对啊.好象有些用peid查都查不到的。显示什么也找不到的信息,那么我们该怎么下手呢 2007-5-30 11:38 0
binbinbin 雪币： 405 活跃值： (10) 能力值： ( LV9，RANK：1130 ) 在线值：发帖 51 回帖 690 粉丝 0 关注私信	binbinbin 28 21 楼支持继续更新。~~~ 2007-5-30 12:39 0
sdfcfy 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 231 粉丝 0 关注私信	sdfcfy 22 楼写的不够详细啊 2007-5-30 19:25 0
godzilla 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	godzilla 23 楼喜欢这样的文章啊，但是好象有点简单了啊，我是菜鸟，支持总结性的文章 2007-5-30 20:51 0
nishishui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	nishishui 24 楼燕国留痕........ 2007-5-30 22:17 0
flystar 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 34 粉丝 0 关注私信	flystar 25 楼脱壳后下一步作什么?有时侯脱壳了不能运行啊 2007-5-30 22:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复