几个常见的壳的脱壳

ASPack

  • 按步就班

不能让程序往上跳,否则会进入壳的循环。
一直走(F8),走到一个大跳转的时候,那个很有可能就是程序的入口

 

  • ESP寄存器

当八个寄存器没有变化是ESP地址变化,将找到对应的地址下断点,然而运行,运行附近的代码找到大跳转进入程序入口进行脱壳。 

PECompact2

按F7跟随

7C92E493    E8 C6EBFFFF     call ntdll.ZwContinue

按F7自动跳转

7C92D068    FF12            call dword ptr ds:[edx]   

 

Npack

01013290 >  833D 4C3E0101 00 cmp dword ptr ds:[1013E4C],0

01013297    75 05            jnz short notepad.0101329E

01013299    E9 01000000      jmp notepad.0101329F

0101329E    C3               retn

0101329F    E8 46000000      call notepad.010132EA

010132A4    E8 73000000      call notepad.0101331C

010132A9    B8 90320101      mov eax,offset notepad.<模块入口点>

010132AE    2B05 083E0101    sub eax,dword ptr ds:[1013E08]

010132B4    A3 403E0101      mov dword ptr ds:[1013E40],eax

010132B9    E8 9C000000      call notepad.0101335A

010132BE    E8 48020000      call notepad.0101350B

010132C3    E8 F8060000      call notepad.010139C0

010132C8    E8 47060000      call notepad.01013914

010132CD    A1 403E0101      mov eax,dword ptr ds:[1013E40]

010132D2    C705 4C3E0101 01>mov dword ptr ds:[1013E4C],1

010132DC    0105 003E0101    add dword ptr ds:[1013E00],eax

010132E2    FF35 003E0101    push dword ptr ds:[1013E00]

010132E8    C3               retn

 

Call 转跳到壳的循环里面了,最后直接F4到010132E8这个地址的时候直接脱壳。

 

SimplePack

  • 狂跳

往下跳的直接按enter,然后按F4,之后接着F8继续

  • ESP

 

Nspack

  • 按步就班

 

  • ESP寄存器

 

 

  • 分享经验

    这几个壳是最最最常见的,以前是大家常用的,但是现在一般不再用这些壳了,因为都很好破。

    而且一般加壳都是加多层的,爆复杂,脱了一层还要再脱,脱的不会再爱了,就像歌里唱的“如果你愿意一层一层剥开我的心,你会发现,你会流泪”,哈哈哈23333333.

    我给大家分享一下视频,本来是录制的视频的,然后又转成GIF,一起跟大家分享了吧。

    视频以及gif下载:http://pan.baidu.com/s/1nt5DTv7

 

 

转载请注明出处:http://www.cnblogs.com/yydcdut/p/3495283.html

posted @ 2013-12-28 14:19  我爱物联网  阅读(1938)  评论(11编辑  收藏  举报
AmazingCounters.com