第二课 破解工具的介绍及使用方法
第二课 破解工具的介绍及使用方法
1. 介绍脱壳的基本过程
脱壳的基本流程:
侦壳——→OD载入程序——→寻找OEP——→脱壳(DUMP)——→修复
下面介绍下这些步骤常用的工具:
侦壳:PEID FI
调试程序寻找OEP:OD
脱壳:LordPE OD自带脱壳插件
修复:Import REConstructor
简单得进行一次操作,让大家有个感性的认知。
2. 认识下常用工具
3. 认识侦壳工具
FileInfo(FI)--功能强大的侦壳工具,DOS界面。使用方法:可以拖放、可以使用DOS命令行
PEID--功能强大的侦壳工具,自带脱壳插件(但是,效果不怎么样)建议不要使用。
4. 认识OD
OD窗口分为:反汇编窗口,寄存器窗口,数据窗口,堆栈窗口,信息窗口
反汇编窗口:显示被调试程序的反汇编代码,标题栏上的地址、HEX 数据、反汇编、注释可以通
过在窗口中右击出现的菜单 界面选项->隐藏标题 或 显示标题 来进行切换是否显示。用鼠标左
键点击注释标签可以切换注释显示的方式。
寄存器窗口:显示当前所选线程的 CPU 寄存器内容。同样点击标签 寄存器 (FPU) 可以切换显示
寄存器的方式。
信息窗口:显示反汇编窗口中选中的第一个命令的参数及一些跳转目标地址、字串等。
数据窗口:显示内存或文件的内容。右键菜单可用于切换显示方式。
堆栈窗口:显示当前线程的堆栈。
常用快捷键:
F2:设置断点,只要在光标定位的位置按F2键即可,再按一次F2键则会删除断点。
F8:单步步过。每按一次这个键执行一条反汇编窗口中的一条指令,遇到 CALL 等子程序不进入
其代码。
F7:单步步入。功能同单步步过(F8)类似,区别是遇到 CALL 等子程序时会进入其中,进入后首
先会停留在子程序的第一条指令上。
F4:运行到选定位置。作用就是直接运行到光标所在位置处暂停。
F9:运行。按下这个键如果没有设置相应断点的话,被调试的程序将直接开始运行。
CTRL+F9:执行到返回。此命令在执行到一个 ret (返回指令)指令时暂停,常用于从系统领空返
回到我们调试的程序领空。
ALT+F9:执行到用户代码。可用于从系统领空快速返回到我们调试的程序领空。
Shift+F9:忽略所有异常运行。
这些就是常用的调试中的快捷键了。其他的操作在以后的脱壳操作中会一点一点教给大家。
5. 练习DUMP
6. 练习修复