-
-
[旧帖]
[原创]基础但很实用
0.00雪花
-
发表于:
2009-10-24 19:24
1448
-
(开始学脱壳破解 学习笔记做的笔记 发过来)希望能转正 拿个邀请码 好好学习。
脱壳 方法
OD单步最踪
PUSHAD 压
POPAD 出
OEP 真入口点, 加壳就是隐藏真正的入口点
一般在POPAD附近
最终找到:
PUSHEBP
方法一 :
OD 单步跟踪:
F8 实现往下跳,
点下一句断点
F4 (代码,断电,运行到所选)
红线 代表跳转实现
绿线 没实现
红线 要去断点。
如果刚载进程序,在附近就有个CALL F7跟进去,不然容易跑飞掉。能飞快地找到 OEP
如果 有很大的跳转,比如 JMP XXXX
或者 JE XXXXX 或者RETN 一般很快就能找到 OEP!
BTW在有些客无法向下跟踪时候 我们在附近找到实现的大跳转
右键 跟随 然后 F2 下断,SHIFT +F9
运行在 跟随 位置 在取消断点,继续 F8单步跟随。一般可以轻松达到 OEP
一般 找到 EBP
PUSHEBP
近CALL 要跟进去
远CALL 没事
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
