自转: S.l.e! ep.) % - C博客
=================================
初学者必须知道什么是OEP,并且必须用正在寻找的一般方法让软件解读什么是OEP?
原始入口点原创入口点常见空壳知识:1.PUSHAD (冲压)表示程序入口点,2.POPAD (冲压)表示程序输出点,PUSHAD 3.OEP :程序入口,注意这一点。 软件外壳隐藏了OEP (或者使用了假的OEP )。 一旦找到程序的真正OEP,就可以马上退出。 方法1:1.od加载,不分析代码! 2 .逐步跟踪F8,是向下跳跃实现。 3 .当程序遇到包含循环的后退时,在以下代码中按F4 : (或右键单击代码,选择并执行断点——直到选中)4.绿线表示没有实现跳转。 请无视。 红线表示实现了跳跃。 5 .如果刚加载程序,附近有CALL,我们就跟着F7。 这样的话,马上就到程序的OEP 6了。 在跟踪过程中,执行某个CALL程序时,该CALL中的F7会进入7。 例如,如果有jmp XXXXXX、JE XXXXXX或RETE,马上就到的方法2 :
="font-family:Verdana,Geneva,Arial,Helvetica,sans-serif; font-size:13px; line-height:19px"> ESP定理脱壳(ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了!)1.开始就点F8,注意观察OD右上角的寄存器中ESP有没出现。
2.在命令行下:dd 0012FFA4(指在当前代码中的ESP地址),按回车!
3.选种下断的地址,下硬件访问WORD断点。
4.按一下F9运行程序,直接来到了跳转处,按下F8,到达程序OEP,脱壳
方法三:
内存跟踪:
1:用OD打开软件!
2:点击选项——调试选项——异常,把里面的忽略全部√上!CTRL+F2重载下程序!
3:按ALT+M,DA 打开内存镜象,找到第一个.rsrc.按F2下断点,
然后按SHIFT+F9运行到断点,接着再按ALT+M,DA 打开内存镜象,找到.RSRC上面的CODE,按
F2下断点!然后按SHIFT+F9,直接到达程序OEP,脱壳!
方法四:
一步到达OEP(孤独的招牌总结的经验)
1.开始按Ctrl+F,输入:popad(只适合少数壳,包括ASPACK壳),然后按下F2,F9运行到此处
2.来到大跳转处,点下F8,脱壳之!
方法五:
1:用OD打开软件!
2:点击选项——调试选项——异常,把里面的√全部去掉!CTRL+F2重载下程序!
3:一开是程序就是一个跳转,在这里我们按SHIFT+F9,直到程序运行,记下从开始按F9到程序
运行的次数!
4:CTRL+F2重载程序,按SHIFT+F9(次数为程序运行的次数-1次
5:在OD的右下角我们看见有一个SE 句柄,这时我们按CTRL+G,输入SE 句柄前的地址!
6:按F2下断点!然后按SHIFT+F9来到断点处!
7:去掉断点,按F8慢慢向下走!
8:到达程序的OEP,脱壳!
以上方法,针对不同的壳,至于OEP是什么样子,这个就不好说了,不同的语言写出来的样子就不一样,有zrdyx能总结下OEP的样子吗???
新手朋友可以记住这几种方式,一般壳脱掉是没有什么问题的。
再用一个最幼稚的比喻来形容加壳的软件,那个带壳的软件,就是穿了衣服的人,要看它到底是男是女,就把衣服脱掉,不可能哪个生出来就穿了衣服吧,就像软件一样,写出来不可能就带壳的,都是后面加上去的。脱下来了,就一目了然了。。。不知道这个比喻形容的清楚不~~呵呵~~~
基础东西,害羞的超短裙绕过,新手要学破解的,必须掌握~~我也在学习中。。。很多壳有专用的脱法,慢慢来学,不急~~