[求助]怎么样通过OD判断软件是否加壳-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (20)
许晴雪币： 113 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 107 粉丝 0 关注私信	许晴 2 楼不知道看程序的OEP行不行。常用的几种语言的开头部分记下来，OD载入后看程序开头。 2009-4-25 18:15 0
第一滴血雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	第一滴血 3 楼把软件导入OD后，去查看下ASCII，如果代码很少或者没有，就应该是加壳的。呵呵，我是个初学者，这个方法不一定正确。 2009-4-25 18:18 0
欲霸小子雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 36 粉丝 0 关注私信	欲霸小子 4 楼怎么就没有高手回答呢 2009-4-29 15:10 0
小花雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 60 回帖 215 粉丝 0 关注私信	小花 5 楼如果用PEID的话应该很容易能看出来，如果非要用OD的话，那么首先你要背过所有壳的特征码，然后从OD里面一点一点的找，然后在一个一个的排除…… 2009-4-29 15:14 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 6 楼听起来好像很难的样子 2009-4-29 15:58 0
日出江红雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 35 粉丝 0 关注私信	日出江红 7 楼恩，这算是一个简单的方法，或者用Peid查看都可以，不过加花了不行。 2009-4-29 16:03 0
孟贤雪币： 414 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 261 粉丝 1 关注私信	孟贤 8 楼一般加了壳的我感觉入口点会比代码区段的值要大~一般压缩壳~ 2009-4-29 16:16 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 9 楼看导入表，看运行后代码段是不是不一样，看大小，看入口点特征（哪个段，代码特征），其他好多好多特征，还有一块三毛钱有个熵判断是否加壳的。。。。。。。 2009-4-29 17:17 0
hwyouxia 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	hwyouxia 10 楼也进来了解学习下 2009-4-29 17:52 0
欲霸小子雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 36 粉丝 0 关注私信	欲霸小子 11 楼看导入表，看运行后代码段是不是不一样，是什么意思 2009-5-1 19:40 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 12 楼加壳后导入表会变化，如有的只剩下loadlibrary和getprocaddr之类的；代码段加壳后会被修改，如偷代码，压缩，加密，花指令，垃圾指令啥的，运行时要恢复或者跳走。。。，具体的要说就要说很多内容了，慢慢学习就会懂了，看雪老大的书上都有介绍哈~ 2009-5-2 03:46 0
侯hou 雪币： 104 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	侯hou 13 楼累不？非得OD？Peid专用查壳的是不是不会用？无聊的话题！菜鸟就表问些无聊的问题，有时间多看大牛的文章。 2009-5-2 15:43 0
chengxjj 雪币： 256 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 147 粉丝 0 关注私信	chengxjj 14 楼 Ctrl+N 自己对比一下就知道了！ 2009-5-2 15:54 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 15 楼学习下呵呵了解OEP应该可以判断吧 2009-5-3 15:31 0
monsterok 雪币： 603 活跃值： (40) 能力值： ( LV9，RANK：140 ) 在线值：发帖 14 回帖 360 粉丝 0 关注私信	monsterok 3 16 楼看代码，加了壳的一眼就可以看出来 2009-5-3 15:42 0
不懂数字雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 47 粉丝 0 关注私信	不懂数字 17 楼同意5楼，有必要非要OD看吗 2009-5-4 09:04 0
flymoon 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	flymoon 18 楼呵呵，载入时入口点是PUSHAD。这个是UPX壳的特征。 2009-5-4 10:28 0
gunt 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	gunt 19 楼 peid知道了，我也是新手 2009-5-4 15:59 0
monsterok 雪币： 603 活跃值： (40) 能力值： ( LV9，RANK：140 ) 在线值：发帖 14 回帖 360 粉丝 0 关注私信	monsterok 3 20 楼都是牛人啊，汗列 2009-5-4 16:23 0
沉沉雪币： 215 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 65 粉丝 0 关注私信	沉沉 21 楼不要局限于一种工具，一种方式。。。像搜索ASCII码字符串，是不错的一种方法，也比较简单。。。还有就是自己写几个简单的常用语言写的EXE，用来做对比OEP分析。。如VB/VC/DEPHI/MASM等。。。看他们的入口点，是怎么处理的。。然后在对照一下，目标程序的入口处的代码。。。PEID还是非常不错的。。。 2009-5-4 17:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (20)
许晴雪币： 113 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 107 粉丝 0 关注私信	许晴 2 楼不知道看程序的OEP行不行。常用的几种语言的开头部分记下来，OD载入后看程序开头。 2009-4-25 18:15 0
第一滴血雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	第一滴血 3 楼把软件导入OD后，去查看下ASCII，如果代码很少或者没有，就应该是加壳的。呵呵，我是个初学者，这个方法不一定正确。 2009-4-25 18:18 0
欲霸小子雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 36 粉丝 0 关注私信	欲霸小子 4 楼怎么就没有高手回答呢 2009-4-29 15:10 0
小花雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 60 回帖 215 粉丝 0 关注私信	小花 5 楼如果用PEID的话应该很容易能看出来，如果非要用OD的话，那么首先你要背过所有壳的特征码，然后从OD里面一点一点的找，然后在一个一个的排除…… 2009-4-29 15:14 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 6 楼听起来好像很难的样子 2009-4-29 15:58 0
日出江红雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 35 粉丝 0 关注私信	日出江红 7 楼恩，这算是一个简单的方法，或者用Peid查看都可以，不过加花了不行。 2009-4-29 16:03 0
孟贤雪币： 414 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 261 粉丝 1 关注私信	孟贤 8 楼一般加了壳的我感觉入口点会比代码区段的值要大~一般压缩壳~ 2009-4-29 16:16 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 9 楼看导入表，看运行后代码段是不是不一样，看大小，看入口点特征（哪个段，代码特征），其他好多好多特征，还有一块三毛钱有个熵判断是否加壳的。。。。。。。 2009-4-29 17:17 0
hwyouxia 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	hwyouxia 10 楼也进来了解学习下 2009-4-29 17:52 0
欲霸小子雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 36 粉丝 0 关注私信	欲霸小子 11 楼看导入表，看运行后代码段是不是不一样，是什么意思 2009-5-1 19:40 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 12 楼加壳后导入表会变化，如有的只剩下loadlibrary和getprocaddr之类的；代码段加壳后会被修改，如偷代码，压缩，加密，花指令，垃圾指令啥的，运行时要恢复或者跳走。。。，具体的要说就要说很多内容了，慢慢学习就会懂了，看雪老大的书上都有介绍哈~ 2009-5-2 03:46 0
侯hou 雪币： 104 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	侯hou 13 楼累不？非得OD？Peid专用查壳的是不是不会用？无聊的话题！菜鸟就表问些无聊的问题，有时间多看大牛的文章。 2009-5-2 15:43 0
chengxjj 雪币： 256 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 147 粉丝 0 关注私信	chengxjj 14 楼 Ctrl+N 自己对比一下就知道了！ 2009-5-2 15:54 0
liugeshao 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 119 粉丝 0 关注私信	liugeshao 15 楼学习下呵呵了解OEP应该可以判断吧 2009-5-3 15:31 0
monsterok 雪币： 603 活跃值： (40) 能力值： ( LV9，RANK：140 ) 在线值：发帖 14 回帖 360 粉丝 0 关注私信	monsterok 3 16 楼看代码，加了壳的一眼就可以看出来 2009-5-3 15:42 0
不懂数字雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 47 粉丝 0 关注私信	不懂数字 17 楼同意5楼，有必要非要OD看吗 2009-5-4 09:04 0
flymoon 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	flymoon 18 楼呵呵，载入时入口点是PUSHAD。这个是UPX壳的特征。 2009-5-4 10:28 0
gunt 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	gunt 19 楼 peid知道了，我也是新手 2009-5-4 15:59 0
monsterok 雪币： 603 活跃值： (40) 能力值： ( LV9，RANK：140 ) 在线值：发帖 14 回帖 360 粉丝 0 关注私信	monsterok 3 20 楼都是牛人啊，汗列 2009-5-4 16:23 0
沉沉雪币： 215 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 65 粉丝 0 关注私信	沉沉 21 楼不要局限于一种工具，一种方式。。。像搜索ASCII码字符串，是不错的一种方法，也比较简单。。。还有就是自己写几个简单的常用语言写的EXE，用来做对比OEP分析。。如VB/VC/DEPHI/MASM等。。。看他们的入口点，是怎么处理的。。然后在对照一下，目标程序的入口处的代码。。。PEID还是非常不错的。。。 2009-5-4 17:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]怎么样通过OD判断软件是否加壳 0.00雪花