随笔分类 -  脱壳

ximo脱壳-手脱tElock 0.98b1壳、exe32pack壳、WinUpack加的壳
摘要:一、手脱tElock 0.98b1壳 用最后一次异常法 首先使用OD载入程序 然后不停的用shift+F9,直到程序运行起来,记录下程序运行起来的前一次的次数,然后执行到那一次 上图为程序执行起来了,下图为最后一次异常定位的地址 然后找到右下方的堆栈窗口,找到SE处理程序或者SE句柄 记录下里面存储 阅读全文
posted @ 2023-01-27 10:00 写在风中的信 阅读(92) 评论(0) 推荐(0) 编辑
ximo基础脱壳教程23:手脱ASProtect1.23 RC4
摘要:版本的判断: 判断版本: ASProtect 1.23 RC4 按shift+f9键26次后来到典型异常,在最近处的retn处设断,跳过异常,f8步跟就会来到foep。 ASProtect 1.31 04.27 按shift+f9键36次后来到典型异常,在最近处的retn处设断,跳过异常,f8步跟就 阅读全文
posted @ 2022-03-12 10:34 写在风中的信 阅读(141) 评论(0) 推荐(0) 编辑
ximo基础脱壳教程22:手脱ASProtect 1.2/1.23
摘要:首先我们来脱手脱ASProtect 1.2的壳 步骤如下 ASProtect 1.2 / 1.2c-> Alexey Solodovnikov 最后一次异常 在RET处下断 内存镜像00401000下断 直达OEP!! 脱壳,修复。 下面开始演示 首先查一下壳 然后我们用OD载入 我们在调试选项中只 阅读全文
posted @ 2022-03-10 21:16 写在风中的信 阅读(542) 评论(0) 推荐(0) 编辑
ximo基础脱壳教程20:另类方法解ACProtect
摘要:今天继续脱ACProtect壳 上来先查一下壳 发现是ACProtect1.4,我们用OD载入程序 我们直接使用最后一次异常法, 然后使用常规的方法进行脱壳 找到程序的OEP,发现有被偷取的代码,经过查找之后,我们发现程序存在很大一段被偷的代码,所以我们不再使用这种方法,而是用特殊方法 我们再次载入 阅读全文
posted @ 2022-03-09 17:07 写在风中的信 阅读(49) 评论(0) 推荐(0) 编辑
ximo 基础脱壳教程19:手脱ACProtect V2.0.X
摘要:今天我们脱一下ACProtect2.0的壳 老规矩,还是先查一下壳 发现是ACProtect2.0的壳 我们用OD载入 我们在命令窗口中输入bp GetCurrentProcessId命令,然后shift+F9 跳转到这里,取消断点,先查看一下OD的PID,然后修改这几条语句,第一句的第二个操作数填 阅读全文
posted @ 2022-03-08 17:32 写在风中的信 阅读(77) 评论(0) 推荐(0) 编辑
ximo基础脱壳教程18:ACProtect之寻找丢失的Stolen Code
摘要:今天继续来脱一下偷代码的ACProtect壳,上一次脱的是版本比较低的壳,这次我们脱的是版本比较高的壳 我们还是先查一下壳 什么也没有发现,但是EP段显示.preplex,并且下面显示UltraProtect,UltraProtect是ACProtect的先前版本 我们用OD载入,然后打开调试选项, 阅读全文
posted @ 2022-03-08 17:02 写在风中的信 阅读(131) 评论(0) 推荐(0) 编辑
ximo基础脱壳教程17:脱ACProtect(存在Stolen Code)
摘要:常规方法,直达OEP 修复被偷取的代码 修复,成功脱掉! 对于没有偷代码的ACProtect壳,我们直接在Memory中下断就可以,但是对于有偷代码情况的壳,我们就需要找到被偷掉的代码,进行还原,然后进行脱壳修复 我们先看一下,如果没有还原被偷掉的代码,OEP是什么样子的 我们依旧还是先用PEID查 阅读全文
posted @ 2022-03-07 21:37 写在风中的信 阅读(136) 评论(0) 推荐(0) 编辑
ximo基础脱壳教程16:脱ACProtect132(无Stolen Code)
摘要:以下为脱ACProtect132(无Stolen Code)的步骤 1。设置异常,隐藏OD 2。SE处下内存访问断点 3。SHIFT+F9,F2,再一次SHIFT+F9,下断,再一次SHIFT+F9 4,取消所有断点 5,内存,00401000。F2,SHIFT+F9 6,直达OEP!! 7。修复, 阅读全文
posted @ 2022-03-05 11:32 写在风中的信 阅读(52) 评论(0) 推荐(0) 编辑
ximo基础脱壳教程15:ASPACK变形壳(续)及学会用脚本进行脱壳
摘要:之前我们脱壳用的方法都是手脱,根据各种方法找到程序的OEP,但其实也可以使用脚本进行脱壳,缺点是脚本进行脱壳可能会有些不准确,今天就来学习一下如何使用脚本进行脱壳 我们首先先 查一下程序的壳 发现是一个ASPACK的壳,我们如果用脚本进行脱壳,那么就要使用对应的脚本 我们先用OD载入程序 右键选择运 阅读全文
posted @ 2022-03-05 11:15 写在风中的信 阅读(233) 评论(0) 推荐(0) 编辑
ximo基础脱壳教程14:手脱ASPACK的变形壳
摘要:今天介绍手脱ASPACK的变形壳 先用PEID查下壳 显示位置,一般的变形壳都会显示未知,我们直接用OD载入程序 先单步跟踪一下 跟到这里发现程序运行起来了,说明这个call需要跟进去,这里因为有push指令,我们也可以使用esp定律法,然后我们接着分析 这里我们遇见一个向上的跳转 在这里我们执行F 阅读全文
posted @ 2022-03-04 20:27 写在风中的信 阅读(66) 评论(1) 推荐(0) 编辑
ximo基础脱壳教程12:自校验的去除方法
摘要:下断bp CreateFileA 首先我们查一下要分析的程序的壳 发现是一个AsPack壳,我们用OD载入 发现一条pushad,那我们直接使用esp定律法,然后我们使用OD插件进行脱壳,这里就不在演示了 我们打开脱完壳之后的程序,发现报错 我们用LordPE和IR修复后也出现这样的问题,这里就是程 阅读全文
posted @ 2022-03-01 17:33 写在风中的信 阅读(138) 评论(0) 推荐(0) 编辑
ximo基础脱壳教程11:附加数据的处理方法
摘要:工具:overlay最终版 WIN HEX或HEX WORKSHOP 首先我们查一下壳 发现是一个北斗的壳,并且带有附加数据 我们用OD打开调试程序 上来就发现了pushad和pushfd,那我们直接使用esp定律法,先单步,然后在寄存器窗口中右键数据窗口跟随,然后再数据窗口中下断点,然后运行 然后 阅读全文
posted @ 2022-03-01 16:58 写在风中的信 阅读(124) 评论(0) 推荐(0) 编辑
ximo脱壳教程5:手脱PECompact2.X的壳
摘要:PECompact 2.x -> Jeremy Collake 1。单步 2。ESP定律 3。BP VirtualFree SHIFT+F9,取消断点 ALT+F9 查找 push 8000(特征码) 运行到这 单步跟 4。BP VirtualFree 两次SHIFT+F9 中断后取消断点,Alt+ 阅读全文
posted @ 2022-02-25 20:20 写在风中的信 阅读(253) 评论(0) 推荐(0) 编辑
ximo脱壳4-手脱FSG壳
摘要:基础脱壳教程4:手脱FSG壳 FSG 2.0 -> bart/xt 重点为修复 手动、查找IAT 一、单步跟踪法 单步跟踪就是和之前一样的套路,直接单步向下,遇到向上跳转直接用F4跳过就可以了,主要是在单步的时候注意一些跳转,可能跳转到的地方就是程序的OEP 也有可能跳转到OEP的指令会被略过,所以 阅读全文
posted @ 2022-02-24 23:15 写在风中的信 阅读(93) 评论(0) 推荐(0) 编辑
ximo脱壳1—手脱UPX壳
摘要:ximo脱壳之基础教程第一课——手脱UPX壳 UPX壳为一种简单的压缩壳 调试工具为PEID和OD 手脱UPX有四种方式找到OEP 第一种:单步跟踪 第二种:ESP寻址 第三种:2次内存镜像法 第四种:一次直达法 一、单步跟踪法 首先,打开OD,将示例程序 打开该文件之后,我们进行单步跟踪 图中标出 阅读全文
posted @ 2022-02-21 22:58 写在风中的信 阅读(496) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示