一. 学脱壳的必要性
1.免杀制作
2.程序个性化修改汉化
3.收费共享软件的破解
二.脱壳工具介绍
1.查壳工具: PEID ,FI ,PE-SCAN 等
2.脱壳跟踪工具: ollydbg
3.脱壳工具: OD自带脱壳插件,LordPE.
4.修复工具:Import REConstructor 1.6
三.脱壳的步骤(以UPX为例)
第一步:查壳
用到工具:PEID ,FI ,PE-SCAN
第二步:跟踪调试找程序的OEP
用到工具:ollydbg
第三步:找到OEP后脱壳
1.用OD自带的脱壳插件脱: 方法就是右键脱壳之
2.LordPE:选择所调试进程右键,完整脱壳.
第四步:修复
用到工具:Import REConstructor 1.6
四.ollydbg脱壳中常用快捷键介绍
F2: 下断点.
F4:运行到所选择的那一行.-----遇到向上跳时用到
F7:单步进入----遇到近call时用到.
F8:单步跟踪
F9:运行程序
Shift+F9 :忽略异常运行
Alt+M:打开内存镜像
五.脱壳的基础知识小节
1.PUSHAD :(压栈) 代表程序的入口点
2.POPAD :(出栈) 代表程序的出口点,与PUSHAD想对应.
3.OEP:程序的入口点,软件加壳就是为了隐藏OEP.而我们脱壳的目的就是找到该OEP.