存档

文章标签 ‘脱壳’

SFX自动脱壳

2011年12月2日 2 条评论

OD还有这么一个功能,以前一直不知道。虽然步骤很简单,但是原理网上却不见有讨论,似乎只能脱一些压缩壳。
使用SFX自动脱壳法脱壳的常见步骤:

  1. 将OD设置为忽略所有异常;
  2. 在OD的“调试选项”对话框的“SFX”选项卡中选择“字节模式跟踪实际入口”选项并确定;
  3. 将待脱壳程序载入OD,待程序载入完成后,会直接停在OEP处。

测试了一下ASPACK,结果可行,OD会自动停留在OEP!本次脱壳完成后记得把OD的SFX设置改回去!

0100739D . 6A 70 push [......]

继续阅读

分类: 逆向调试 标签: , ,

单步跟踪法手脱UPX壳

2011年11月27日 5 条评论

很早以前接触过免杀,不过那个时候我连汇编都不懂,所以自然是没有成功过一次;依然还记得那时候用Ollydbg、CCL之类的工具照着动画视频做,可以弄到很晚,但是一直是失败的。当然,我做这个的目的,全然是个人兴趣所向,不是拿来干坏事的,现在接触点这个,也只是兴趣,或者说以后拿来对抗病毒所用。

这里的文章算是看《杀不死的秘密》的一点笔记(个人觉得这本书上的废话太多了,很多地方感觉实在充字数。将就看下吧。)这里显示看一下单步跟踪法脱壳,这个实际过程应该很少用到,太麻烦了。
单步跟踪法就是利用OD的单条[......]

继续阅读

分类: 逆向调试 标签: , , ,

带壳破解SMC补丁技术

2011年5月26日 6 条评论

今天又考完了一门课程,大三也即将结束了。大三的结束基本上也就意味着大学学习的结束,所以要抓紧留在学校的时间多学点东西。今天看了SMC补丁技术,很简单的那种。复杂的还有好几层的SMC技术,那个应用在壳上加壳的破解。
SMC补丁技术可以实现带壳破解。主要原理就是在外壳解密/压缩完成即将跳转到OEP之际,让其跳转到另一个地方。在那个地方我们将完成程序的补丁工作,然后再跳转到OEP处执行。至于SMC的英文全称,我也不知道是什么。
首先是一个简单的CrackMe,通过判断输入的字符串是否与程序中预置的字符[......]

继续阅读

分类: 逆向调试 标签: , , ,

Armadillo(穿山甲)简单脱壳处理

2011年3月28日 6 条评论

Armadillo,理论上来说,应该翻译成“犰狳”,而不是“穿山甲”;不过关于壳方面很多人都把他叫做穿山甲。这里简单说一下处理的一个壳,只是穿山甲壳中的一种情况,仅供参考。
OD下断点GetModuleHandleAPEID查克,一时“Armadillo 3.00a – 3.61 -> Silicon Realms Toolworks”,直接OD载入目标程序。用bp GetModuleHandleA+5进行下断点。为什么要在API后面加5呢?主要是防止穿山甲从中作梗,另外调试的时候注意通过插件来隐藏OD。每次断下之后都要接着继[......]

继续阅读

分类: 逆向调试 标签: , ,

使用ImportREC修复脱壳文件导入表

2011年3月25日 2 条评论

在逆向调试中往往会遇到脱壳后文件无法正常运行的现象,这时候就需要尝试修复导入表。需要用到的几个工具:Ollydbg、ImportREC,当然,如果OD没有dump功能,还得选一个工具,可以为LoadPE等。导入表的修复时脱壳中必须要掌握的一项基本技能,下面是本人的一些学习记录:(仅供参考,如有错误,请指正)
首先是脱壳,OD载入,可以用ESP定律(如果可行的话)来脱壳(不懂?看这里《ESP定律脱壳》一文),找到程序的OEP。找到OEP之后,在OD的CPU窗口中右键,选择“在OllyDump脱壳调[......]

继续阅读

分类: 逆向调试 标签: , , ,

PECompact 2.x -> Jeremy Collake脱壳

2011年3月20日 没有评论

看到网上有用SEH脱壳的,看的不是很明白(最主要还是讲的很不明白,然后很多人千篇一律的转载,所以就看不明白了)。另外还有看到用ESP脱壳的,这个比较好理解(ESP定律就那么一个套路,不懂的请看《ESP定律脱壳》一文)。
首先,对目标程序用PEiD查壳,提示PECompact 2.x -> Jeremy Collake,然后OD载入,OD会提示数据有加密或者压缩,点击否。然后OD断下的代码大概如下:

00401000 > B8 D09A6D00 MOV EAX,Waterm[......]

继续阅读

分类: 逆向调试 标签: , , ,

接触脱壳中的Overlay

2011年3月19日 6 条评论

初次接触逆向,在学习的过程中遇到很多问题。前几天学习了ESP定律脱壳,感觉很不错,所以每次看到有popad的壳,就想用ESP定律去脱。这次遇到一个,PEID查壳,发现壳后面有个Overlay,Overlay是什么呢?本人不是很清楚。
其实,overlay虽然大家在脱壳当中觉得很陌生,但是他离我们并不遥远。在我们平时使用的软件当中,有一些软件要处理一些数据流文件,比如winamp。当我们下载了mp3文件(数据文件),没有播放器是不可能播放的,与此相关的还有很多,比如txt文件和notepad的关系[......]

继续阅读

分类: 逆向调试 标签: , , ,

ESP定律脱壳

2011年3月18日 11 条评论

ESP定律脱壳,很容易上手,网上也有这方面的视频教程,看一个就知道了。不过对于ESP定律的原来,暂时不去研究。看雪论坛上面很有多讨论这个问题的帖子,有兴趣的朋友可以自己去找找看。本人对ESP定律该在何时使用也很迷茫中。
ESP定律的大概步骤:
OD载入加壳程序,然后当popad执行之后,观察ESP的值,然后跟踪ESP的值在内存中的位置,对那个地方进行下断点(word的硬件访问断点)。接着F9,来到断点处,之后F8,当ret/retn到某一个地方的时候,就是OEP了。
文字描述可能不太清楚,下面贴[......]

继续阅读

分类: 逆向调试 标签: , , ,