摘要:
今天介绍手脱ASPACK的变形壳 先用PEID查下壳 显示位置,一般的变形壳都会显示未知,我们直接用OD载入程序 先单步跟踪一下 跟到这里发现程序运行起来了,说明这个call需要跟进去,这里因为有push指令,我们也可以使用esp定律法,然后我们接着分析 这里我们遇见一个向上的跳转 在这里我们执行F 阅读全文
摘要:
下断bp CreateFileA 首先我们查一下要分析的程序的壳 发现是一个AsPack壳,我们用OD载入 发现一条pushad,那我们直接使用esp定律法,然后我们使用OD插件进行脱壳,这里就不在演示了 我们打开脱完壳之后的程序,发现报错 我们用LordPE和IR修复后也出现这样的问题,这里就是程 阅读全文
摘要:
工具:overlay最终版 WIN HEX或HEX WORKSHOP 首先我们查一下壳 发现是一个北斗的壳,并且带有附加数据 我们用OD打开调试程序 上来就发现了pushad和pushfd,那我们直接使用esp定律法,先单步,然后在寄存器窗口中右键数据窗口跟随,然后再数据窗口中下断点,然后运行 然后 阅读全文
摘要:
PECompact 2.x -> Jeremy Collake 1。单步 2。ESP定律 3。BP VirtualFree SHIFT+F9,取消断点 ALT+F9 查找 push 8000(特征码) 运行到这 单步跟 4。BP VirtualFree 两次SHIFT+F9 中断后取消断点,Alt+ 阅读全文
摘要:
基础脱壳教程4:手脱FSG壳 FSG 2.0 -> bart/xt 重点为修复 手动、查找IAT 一、单步跟踪法 单步跟踪就是和之前一样的套路,直接单步向下,遇到向上跳转直接用F4跳过就可以了,主要是在单步的时候注意一些跳转,可能跳转到的地方就是程序的OEP 也有可能跳转到OEP的指令会被略过,所以 阅读全文