[求助]关于最后一次异常法的脱壳问题？？-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 2 楼名词真多,我很落后 2008-8-26 20:58 0
小黑冰雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 85 回帖 687 粉丝 0 关注私信	小黑冰 3 楼我郁闷｀｀｀｀｀｀｀我也象楼主问个问题　怎么样破解软件？　原理又是什么？ 2008-8-26 21:34 0
qy黄文超雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 155 粉丝 0 关注私信	qy黄文超 4 楼其实就是是找SEH句柄 2008-8-26 22:34 0
小黑冰雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 85 回帖 687 粉丝 0 关注私信	小黑冰 5 楼还没说完呢　　加上　找到ＳＥＨ句柄后跳出异常　哈哈｀｀｀｀｀ 2008-8-27 10:38 0
jingbin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 15 粉丝 0 关注私信	jingbin 6 楼为什么异常了就能达到脱壳的目的？？ 2008-8-27 12:53 0
美丽破船雪币： 65 活跃值： (811) 能力值： ( LV12，RANK：210 ) 在线值：发帖 40 回帖 395 粉丝 7 关注私信	美丽破船 5 7 楼我来回答~ 首先，我来做个名词解释：“异常”就是“不正常”的意思！对于加壳的程序来说，正常情况下是没有异常的，换句话说，就是正常情况下是没有不正常的！而如果你要给这个正常的加壳程序脱壳的话，就是让它不正常了！也就是让它异常了！反之，即是：异常就能达到脱壳目的了！明白了不？ 2008-8-27 14:49 0
pillcor 雪币： 47 活跃值： (37) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 29 粉丝 1 关注私信	pillcor 1 8 楼 http://www.darkst.com/bbs/viewthread.php?tid=7 定义： Seh异常就是数结构化异常处理，Win32 结构化异常处理是操作系统提供的一种服务。好处：在编译器的 SEH 层减少了直接使用纯操作系统的 SEH 所带来的危害缺点：将纯操作系统的 SEH 搞成非透明当程序遇到Seh异常时，异常交给系统处理（这将是一个非常负责的过程，很容易跟飞），所以利用Seh异常可以一定程度的防止程序被调试。（seh异常在壳里是很常见的）步骤： 1、保留所有异常，载入程序。按"SHIFT"+"F9",并开始记数M，直到程序运行。 2、重新载入程序。按"SHIFT"+"F9"忽略异常M-1次。 3、查看堆栈窗口中，"SE 句柄"前面的地址。 4、按"ctrl+g"，打开表达式跟随窗口，输入，在堆栈窗口查到的地址。 5、 F2下断，按"SHIFT"+"F9"来到断点处，去掉断点。 6、在OD的右下角会出现一个SE句柄，按CTRL+G，输入SE 句柄前的地址。 7、 F2下断，SHIFT+F9来到断点处。 8、去掉断点，F8走到程序的OEP。原理：加密壳有反跟踪代码，许多SEH陷阱使OD调试时产生异常，当壳程序执行完毕后，将没有异常。若Shift+F9略过所有异常，并找到最后一次异常处，此刻在恢复异常处(即SE句柄处的地址)下断，OEP即在附近。优点：脱加密壳的非常有效缺点： 1、异常过多容易产生厌烦 2、只适用于加密壳。最后一次异常法就是躲过这些seh。然后可以比较容易走到oep。 2008-11-8 18:29 0
sando 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 77 粉丝 0 关注私信	sando 9 楼详尽。 2008-11-11 12:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 2 楼名词真多,我很落后 2008-8-26 20:58 0
小黑冰雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 85 回帖 687 粉丝 0 关注私信	小黑冰 3 楼我郁闷｀｀｀｀｀｀｀我也象楼主问个问题　怎么样破解软件？　原理又是什么？ 2008-8-26 21:34 0
qy黄文超雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 155 粉丝 0 关注私信	qy黄文超 4 楼其实就是是找SEH句柄 2008-8-26 22:34 0
小黑冰雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 85 回帖 687 粉丝 0 关注私信	小黑冰 5 楼还没说完呢　　加上　找到ＳＥＨ句柄后跳出异常　哈哈｀｀｀｀｀ 2008-8-27 10:38 0
jingbin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 15 粉丝 0 关注私信	jingbin 6 楼为什么异常了就能达到脱壳的目的？？ 2008-8-27 12:53 0
美丽破船雪币： 65 活跃值： (811) 能力值： ( LV12，RANK：210 ) 在线值：发帖 40 回帖 395 粉丝 7 关注私信	美丽破船 5 7 楼我来回答~ 首先，我来做个名词解释：“异常”就是“不正常”的意思！对于加壳的程序来说，正常情况下是没有异常的，换句话说，就是正常情况下是没有不正常的！而如果你要给这个正常的加壳程序脱壳的话，就是让它不正常了！也就是让它异常了！反之，即是：异常就能达到脱壳目的了！明白了不？ 2008-8-27 14:49 0
pillcor 雪币： 47 活跃值： (37) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 29 粉丝 1 关注私信	pillcor 1 8 楼 http://www.darkst.com/bbs/viewthread.php?tid=7 定义： Seh异常就是数结构化异常处理，Win32 结构化异常处理是操作系统提供的一种服务。好处：在编译器的 SEH 层减少了直接使用纯操作系统的 SEH 所带来的危害缺点：将纯操作系统的 SEH 搞成非透明当程序遇到Seh异常时，异常交给系统处理（这将是一个非常负责的过程，很容易跟飞），所以利用Seh异常可以一定程度的防止程序被调试。（seh异常在壳里是很常见的）步骤： 1、保留所有异常，载入程序。按"SHIFT"+"F9",并开始记数M，直到程序运行。 2、重新载入程序。按"SHIFT"+"F9"忽略异常M-1次。 3、查看堆栈窗口中，"SE 句柄"前面的地址。 4、按"ctrl+g"，打开表达式跟随窗口，输入，在堆栈窗口查到的地址。 5、 F2下断，按"SHIFT"+"F9"来到断点处，去掉断点。 6、在OD的右下角会出现一个SE句柄，按CTRL+G，输入SE 句柄前的地址。 7、 F2下断，SHIFT+F9来到断点处。 8、去掉断点，F8走到程序的OEP。原理：加密壳有反跟踪代码，许多SEH陷阱使OD调试时产生异常，当壳程序执行完毕后，将没有异常。若Shift+F9略过所有异常，并找到最后一次异常处，此刻在恢复异常处(即SE句柄处的地址)下断，OEP即在附近。优点：脱加密壳的非常有效缺点： 1、异常过多容易产生厌烦 2、只适用于加密壳。最后一次异常法就是躲过这些seh。然后可以比较容易走到oep。 2008-11-8 18:29 0
sando 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 77 粉丝 0 关注私信	sando 9 楼详尽。 2008-11-11 12:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复