-
关注Ta
-
- 注册时间 2008-08-23
- 最后登录 2019-07-04
-
- 发帖1455
- 在线238小时
- 精华1
- DB1433
- 威望733
- 保证金0
- 桃子0
- 鲜花0
- 鸡蛋0
-
访问TA的空间加好友用道具
|
-------笨柒丶转自饭客。--------大家好,我是大家的新朋友best坏小子,首先很高兴你们来到饭客网络安全培训基地学习, 从今天开始由我来带领大家一起来学习软件脱壳破解培训班的课程,首先要说明的是要想学好一门技能不是一天两天的事情,我在这做的这些课程简单的说只是给大家一个引导,能让大家入门!后面的还需要大家自己下去多看资料!好了,废话不多说了啊!由于今天是第一课我就首先给大家介绍一下一些基本的破解工具吧! 【脱壳一般流程】
查壳(PEID-FFI-exeinfope)--->寻找OEP(OD)--->脱壳/Dump(LordPE、Petools、OD自带的脱壳插件、PETools)--->修复(Import REConstructor)
【工具介绍】 1、查壳 PEID--功能强大的侦壳工具,自带脱壳插件(但是,效果不怎么样) 工作原理:核心是userdb.txt(大家看看就完全明白了)[通过壳的入口特征码进行辨认] 使用方法:可以拖放、也可以把PEID添加到右键菜单里面去
FFI--查壳一般 使用方法:可以拖放、添加到右键
2、寻找OEP
ollydbg的四个区域
左上角是cpu窗口,分别是地址,机器码,汇编代码,注释;注释添加方便,而且还能即时显示函数的调用结果,返回值. 右上角是寄存器窗口,但不仅仅反映寄存器的状况,还有好多东东;双击即可改变Eflag的值,对于寄存器,指令执行后发生改变的寄存器会用红色突出显示. cpu窗口下面还有一个小窗口,显示当前操作改变的寄存器状态. 左下角是内存窗口.可以ascii或者unicode两种方式显示内存信息. 右下角的是当前堆栈情况,还有注释啊.
几个经常使用的快捷键
F2:在需要的地方下断点(INT3型断点) F3:选择打开程序 F4:运行到所选择的那一行 F7:单步进入 F8:单步跟踪 F9:执行程序(运行程序)
其中要特别讲一下3个F9的区别和作用:
根据Ollydbg.hlp的中文翻译
Shift+F9 - 与F9相同,但是如果被调试程序发生异常而中止,调试器会首先尝试执行被调试程序指定的异常处理(请参考忽略Kernel32中的内存非法访问)。
Ctrl+F9 - 执行直到返回,跟踪程序直到遇到返回,在此期间不进入子函数也不更新CPU数据。因为程序是一条一条命令执行的,所以速度可能会慢一些。按Esc键,可以停止跟踪。
Alt+F9 - 执行直到返回到用户代码段,跟踪程序直到指令所属于的模块不在系统目录中,在此期间不进入子函数也不更新CPU数据。因为程序是一条一条执行的,所以速度可能会慢一些。按Esc键,可以停止跟踪。
看这些中文介绍大家可能还不是很明白,用我们通俗的语句来说就是: Ctrl+F9 运行至retn (一般到了retn之后接上F7返回) Alt+F9 运行至上层调用的下句 Shift+F9 忽略异常运行
文件: 1.其中包括该菜单的下部有上次打开的纪录,该纪录保存有上次未清除的断点. 2.附加.对付那些Anti-Debug程序.先运行程序,再运行od,文件-->附加.
查看: 1.执行模块(Alt+E),查看程序使用的动态链接库 2.查看断点.Alt+B
调试: 1.运行(F9)加载程序后,运行! 2.暂停(F12) 3.单步进入(F7)遇见CALL进入!进入该子程序. 4.单步跳过(F8)遇见CALL不进去! 5.执行到返回(ALT+F9)就是执行到该子程的返回语句
查看-->文件
二进制文件编辑功能.查看-->文件,打开的文件是二进制显示.选中要改变的机器指令,空格,修改,右击-->保存.
具体的用途在后面的几壳脱壳课程当中将会用到,大家现在理解就行。在后面的操作中学会使用!
其他的一些具体的大家还是要看看OD的中文帮助的
3、Dump OD自带的脱壳插件--到达OEP之后右键。。。 LordPE、PeDumper--选择所调试的进程--右键--完整脱壳
4、修复 Import REConstructor 1.6 后面还会给大家介绍一些其它的工具! 下载地址: http://www.hackfans.com.cn/video/mijiexunzong/第一课破解常用工具介绍.rar
|