-
-
[旧帖] [原创]Petite脱壳新方法 0.00雪花
-
发表于: 2008-4-21 12:02
-
大家好,我是benteng302来看雪这么长时间了还是未入门,平时偶尔脱个壳,破解个小软件也是瞎猫碰见死耗子。这不昨天才明白一点什么是PE HEADER,好了直接转入正题。今天在试着学Petite脱壳(当然了此壳很简单),忽然之间发现一种特别简便的方法,给大家分享一下,说得对不对大家多包涵。当然了比起fly大侠的脱壳脚本还是逊色一些。给大家介绍两种方法:
工具:ollyice, loadpe, Importrec
方法一:
设置ollyice 忽略所有异常后,F9 运行,程序开始运行此时Ollyice 会停在一个jump的地方这就是OEP了,剩下的我就不说什么了。
方法二:上面的方法我试过了很多的Petite加壳程序都可以成功,可是在我脱Petite V2.3原程序的时候利用方法一在Ollyice出现JUMP的时候会一闪而过很难看清楚它的OEP是什么,故就有了方法二。
首先不用Ollyice, 直接运行Petite原程序后用loadpe DUMP; 然后利用Importrec修复IAT,,打开Importrec 击“自动搜索IAT” “获取输入表”,(什么都不需要输入,当然如果你知道OEP那最好了)这里会出现一些无效指针,没关系“级别1修复”很容易搞定了,然后修复DUMP文件,OK.。然后再利用Ollyice打开修复的DUMP文件后,你看到了什么,Ollyice的JUMP XXX(和我贴的图一样) F8 跟踪马上就看见OEP.了。
(补充一句:其实当你修复完IAT后已经把壳脱掉了,只不过就差JUMP到OEP了)
总之呢,大家可以两种方法交替使用。如果你在使用中发现有什么问题可以与我联系。
工具:ollyice, loadpe, Importrec
方法一:
设置ollyice 忽略所有异常后,F9 运行,程序开始运行此时Ollyice 会停在一个jump的地方这就是OEP了,剩下的我就不说什么了。
方法二:上面的方法我试过了很多的Petite加壳程序都可以成功,可是在我脱Petite V2.3原程序的时候利用方法一在Ollyice出现JUMP的时候会一闪而过很难看清楚它的OEP是什么,故就有了方法二。
首先不用Ollyice, 直接运行Petite原程序后用loadpe DUMP; 然后利用Importrec修复IAT,,打开Importrec 击“自动搜索IAT” “获取输入表”,(什么都不需要输入,当然如果你知道OEP那最好了)这里会出现一些无效指针,没关系“级别1修复”很容易搞定了,然后修复DUMP文件,OK.。然后再利用Ollyice打开修复的DUMP文件后,你看到了什么,Ollyice的JUMP XXX(和我贴的图一样) F8 跟踪马上就看见OEP.了。
(补充一句:其实当你修复完IAT后已经把壳脱掉了,只不过就差JUMP到OEP了)
总之呢,大家可以两种方法交替使用。如果你在使用中发现有什么问题可以与我联系。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
