脱壳修复流程 查壳(PEID、FI、PE-SCAN)--->寻找OEP(OD)--->脱壳/Dump(LordPE、PeDumper、OD自带的脱壳插件、PETools)--->修复(Import REConstructor)
压缩壳 和加密壳 还有不同的加壳工具
1 单步跟踪法 1.OD载入,不分析代码。
2.近CALL—F7,远CALL—F8,实现向下的跳转。
3.有回跳处,下一句代码处—F4 (右键—代码断点运行到所选)
4.大的跳转(大跨段,JMP***或JE***或RETN),很快就会到OEP
或者 详细点
手动脱壳基本方法:从OD载入软件程序后弹出是否分析对话框,点“否”,停在程序壳的入口(含有pushad等类似字符)。接下来我们的目的是要寻找第一个popad 。
(1) 首先按F8,接下来或近处便是CALL,此时的CALL或是离这里很近的CALL必须按F7,否则你就掉入陷井,后面遇到CALL一旦掉入也没关系,你先记下来,重新载入程序(按CTRL+F2),再遇到这个时就用F7进入。
(2) 出现往回跳转时,即红色线显示跳转实现,必须在下一行点左鍵,然后按F4步过,灰色为跳转未实现,可不理它照样F8。
(3) 其他全部F8,一路下去必定能找到第一个popad (关键),找到后离此不远必定有一个大的跳转,一旦跳转来到有push ebp字样,说明壳己走完到主程序(OEP),在此用OD插件→ollyDump→Dump debu…→Dump脱壳→保存。
2 最后一次异常法
1.OD打开—点选项—调试选项—去掉所有异常—CTRL+F2重载.
2.SHIFT+F9.只到程序运行,记下次数M
3.CTRL+F2重载—按SHIFT+F9(次数为M-1次)
4.按CTRL+G—输入OE右下角的SE句柄前的地址.
5.F2下断—SHIFT+F9到断点处.
6.去断按F8,到OEP.
3 模拟跟踪法 无暗桩情况下使用
1.F9试运行,跑起来就无SEH暗桩之类的,否则就有.
2.ALT+N打开内存镜像,找到包含“=sfx,imports reloco tions”字符
3.地址=*** 命令行输入:tceip<***,回车
4esp定律法
1.F8,观察OD右上角寄存器中ESP有没有实现(红色)
2.命令行下 DD or hr ******(当前代码ESP值),回车
3.DD就选中下端地址,断点—硬件访问—DWORD断点,F9运行,到跳转处按F8 到OEP
或者这样 使用od简单脱壳步骤:单步步过F8 寻找红色 ESP ——数据窗口中跟随-- 断点 硬件访问 word --运行程序F9 -- 单步步过F8 寻找 接入点 push EBP 查找ASCII值 脱壳成功 --od脱壳调试进程 完事 或者 单步步过F8 寻找红色 ESP 直接HR硬件断电 -运行程序F9 -- 单步步过F8 寻找 接入点 push EBP
5内存镜像法
1.OD载入软件
2.点选项—调试选项—忽略全部—CTRL+F2重载
3.ALT+N打开内存镜像,找程序第一个.rsrc—F2下断—SHIFT+F9运行到断点,再打开找到程序第一个.rsrc上面的.code处(就是00401000处),F2下断—SHIFT+F9或无异常按F9,到OEP
6 一步到OEP法
只适合少数壳,如UPX,ASPACK
1.CTRL+F—输入:POPAD.回车查找—F2下断—F9运行到此处.
2.来到大跳转处,点F8到OEP.
7SFX法
1.设置OD,忽略所有异常.
2.切换到SFX选项卡,选择“字节模式跟踪实际入口”,确定.
3.重载—“否”压缩代码,到OEP.
第一节 手脱EZIP 1.0 的壳
因为这个壳会修改PE头 用OD脱壳后即使修复了也不能运行。所以最简单的方法是采用 LordPE 这个工具脱壳。具体步骤:
首先,运行目标软件程序(不是用OD,而是想像平时使用一样,双击打开)→从 LordPE 列表中选中目标程序的进程→点”鼠标右键“ 选择”完整脱壳“。最后用 ImportREC 进行修复。
第二节 手脱wwpack 的壳
这个壳跟上面说的 EZIP 1.0 的壳一样,OD脱壳 ImportREC 进行修复 程序还是无法运行。所以还是要用 LordPE 进行脱壳工作。
具体步骤 : 从 LordPE 列表中选中目标程序的进程→点”鼠标右键“ 选择”完整脱壳“。最后用 ImportREC 进行修复 。发现还是不能运行!
最关键的地方到了:用 LordPE 这个软件自带的重建 PE 修复功能;重建PE头,重建后,即可运行!
第三节 手脱 UPX 壳的捷径
用我们已开始提到的”关键提示“。
具体操作:OD载入程序后,直接Ctrl+F,输入 POPAD ;点确定后 来到这个命令所在的位置。按F2,在这个地方下断;再按F9(运行);停止后,按F2取消刚才下的断点。再F8单步!
单步跟踪法的简单方法
第四节 手脱 ASPCK 的壳
脱这个壳用ESP定律,还是相对快捷的。可以用载入程序后,第二行(是一个CALL)那里面的ESP。 //多数程序这个壳的第二行都是一个CALL
在左OD左下角的命令行中,输入命令:hr ESP地址(如 hr 0012FFA4);F9 运行。然后从OD”调试菜单“中的”硬件断点“这一项将刚才下的断点删除,这点很重要!最后F8单步!
第五节 用 内存镜像法 手脱FSG 1.33 和 PCshrink 的壳
1、忽略所有异常
2、Alt+M 打开内存镜像,找到第一个 ”.rsrc“
3、F2(下断),F9(运行)
4、Alt+M 打开内存镜像,找到”Code“段;
5、F2(下断),Shift+F9【这点一定要记住,切记是 Shift+F9】运行;
6、先按F8,再按下F4,直接到达OEP
第六节 手脱 JDpack 壳 和 PEpack 1.0 的壳 最简单的方法
脱这个壳推荐使用内存镜像法;
我在用ESP脱壳的时候发现:ESP定律的速度和单步跟踪的速度差不多,所以在这里就不推荐了。相反,脱 PEpack 1.0 壳 的时候,用ESP定律是最快捷的方法。
第七节 手脱 PEDiminisher ;Dxpack 0.86 ;32lite 0.03a ;PEtite 2.2 这几种壳的简单方法
脱PEDiminisher ;Dxpack 0.86 ;这两种壳的时候,直接用之前讲到的ESP定律,即可完美脱壳。命令:【hr ESP地址】
用ESP脱 32lite 0.03a 后 要注意的是,需要用 ImportREC 这个工具进行修复。如:00410D50 在输入框中输入 10D50 就可以了 【004舍去】
在用ESP定律脱 PEtite 2.2 的时候,推荐选择 Pushad 下面那行地址中的 ESP
第八节 手脱 Exestealth 2.72 的壳
看到这或许大家会沉迷与ESP定律当中,在这里提醒大家:Exestealth 2.72 的壳 用我们一开始提到的”懒方法脱壳“是最简单的;具体步骤,可以参考文章第二部分。
第九节 手脱nspack(北斗)1.3 的壳
1、ESP定律,命令:hr ESP地址 【脱壳后程序不能正常运行】
2、用 ImportREC 这个工具进行修复,修复后程序正常运行。
第十节 另类方法脱 ASPack 2.12R 壳的技巧
Ctrl+S 搜索:retn 0C【retn和零C 中间有个空格】 找到后向下看,如下:
retn 0C
push 0 //在 retn 0C 的下面
retn //在这个地方按 F2(下断) ;F9(运行)
停止后按 一下 F8(单步);再按一下 F7(跟进) 观看这看不懂?没关系,要是我,我也看不懂,所以我早有准备;详细步骤,如下(这是某程序的一部分):
程序中断后来到这里:
0046B3B8 C2 oc00 retn 0C //开始F8(单步)
0046B3B9 68 64584500 push registra.00455864 //这里调用来自 00455864 (OEP)
0046B3C0 C3 retn //F7(跟进) 步入到OEP
注意:这种壳ESP不能直接脱。
破解方法
1.爆破
2.内存补丁
3.内存注册机
4.注册机、
crack方法:
1.查所有的参考文本字符串
2.查ASCⅡ码
3.利用其他的一些反汇编工具来查字符串
4.用DeDe等反编译工具找事件头
5.下API函数断点来找关键代码
6.F12暂停调用法
关键跳爆破方法:
1.把关键跳的比较NOP填充
2.对关键跳的比较直接修改
3.对标志位修改
4.修改比较跳过了关键跳
5.je改jne
6.把关键跳NOP填充
Delphi类程序的破解方法总结
方法一:(下断法)
bp GetWindowTextW 或是 bp ShowWindow
方法二: (F12法)
方法三: (Delphi 铵扭入口特征码法)
740E8BD38B83????????FF93????????
方法四: (DeDe 法)
重启验证程序是把注册码保存到注册表,利用注册表读取注册码,然后经过计算验证其正确性。
注册表重启验证 下断点 bpx RegQueryValueExA
对于易语言,其实一个万能断点是GetWindowTextA。因为系统会用这个函数进行其它的操作,所以有可能你在此设断时,并不是你要的东西。还有一个特点就是易语言好像喜欢用浮点运算。如果当程序注册失败时,出现注册失败提示的话,那么它就又暴露了一点,那就是MessageBoxA函数,也可在这个函数上设断。从这里会很容易的走到程序的领空,到了程序的领空我们就利用OD的字符分析插件,分析出很多程序的字符提示(我很偏爱它);等断在这里之后,看看堆栈区里,能发现很多有用的东西。
怎样寻找隐藏的字符串:F8单步向下走直到程序运行 找到使程序运行的那一行代码 F2下断点 重载程序后F9
运行到断点 F7跟进查找隐藏的字符串
遇到一个外挂OD载入之后直接关机...调试的时候最好用着 XueTr 这个软件。。里面有选项进制关机重启等功能
网络验证登陆型软件的破解
追踪过程:F8单步跟踪,直到程序运行。 记程序跑飞前单步过的CALL,修改次CALL上面的跳转。
c++和dephin 可以通过直接查找字符串 ASCII来寻找关键位置
重启验证的程序
通过字符串,可以找到关键位置:
OD断点,bp 自校验
去除弹网页
bp ShellExecuteA
去除灰色按钮
bp EnableWindow
OD快捷键
Ctrl+F9 运行至retn (一般到了retn之后接上F7返回)
Alt+F9 运行至上层调用的下句,执行直到返回到用户代码段
Shift+F9 忽略异常运行
1.PUSHAD (压栈) 代表程序的入口点
2.POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个,说明OEP可能就在附近
3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP),
只要我们找到程序真正的OEP,就可以立刻脱壳。
对付那些Anti-Debug程序.先运行程序,再运行od,文件-->附加.
1.使用ImportREC修复脱壳软件的大体操作步骤为:
(1)选择进程,可以使用OD正在调试产生的进程,也可以直接运行程序的进程。
(2)手工修改OEP为OD查到的OEP,然后点击“自动查找IAT”按钮
(3)点击“获取输入表”按钮,查看大窗口中有无效的指针
(4)如果全部有效,则可以直接点击“修复转储文件”按钮,在弹出对话框中选择要修复的文件即可。生成的带“_”的文件,即为修复后的文件。
(5)如果有无效的,则点击“查看无效的”按钮,在大对话框里阴影上右键,用相应的跟踪级别进行修复。常用的为级别一和级别三。在用级别三时,容易使程序停止相应,解决方法为:(1)直接打开运行程序,然后附加该程序,而不是OD调试中的进程;(2)用shift键一次选中几个指针,而不是全部选中后修复。
(6)此外,还可以手工修复指针:右键中,选择“反汇编/十六进制“查看菜单项,查看指针所属模块,和指针对应的API,之后,在指针上左键单击,在弹出的对话框中进行选择模块和API即可。
注:有些壳的指针不能修复,直接剪切掉即可,修复了反而不能运行,如穿山甲。
(7)如果修复指针过程中出现了程序被终止等异常情况,可以用“保存树文件“按钮,保存工作进度;待重新附加进程后再“载入树文件”继续操作。
(8)LordPE还有一些插件跟踪,可以搜集插件供使用。
(9)注意:有时RVA和大小两个地方也需要修改,如果修复后程序仍然不能运行,应往这方向考虑。其特点是查找到的指针个数非常少,程序中出现的一些指针未在指针列表中出现。此时应在数据窗口中右键,找到程序指针所在的区域,指针区的首部即是RVA,指针区的大小即为此处大小,之后“获取输入表”,剪出无效的指针,再“转储修复程序”。
2.附加数据
如果程序在脱壳修复后仍然不能运行,比如出现unvalid data或非法数据之类的提示的话,有可能是程序中存在附加数据。其修复方法为:
用winhex等软件十六进制打开程序,从末尾开始向上查找全零的位置,从此处开始到最后即为附加数据,我们需要把这些附加数据附加到破解后的程序后面即可。方法为选中后的复制粘贴。
查找该附加位置也可以有更方便的方法,就是用LordPE的PE编辑器打开加壳程序--区段--这个时候大家可以看到程序的区段了--我们就选择最后的那个区段--现在开始计算附加数据的首部:附加数据的首部==最后一个区段的ROffset+最后一个区段的RSize
3.程序自校验
如果脱壳后程序打开后自关闭,则有可能程序有自校验功能。自校验的程序一般会检查程序的类型、大小、创建日期、CRC值等。解除的方法就是:开两个OD,分别装载原程序和脱壳后的程序,从找到的OEP开始,单步调试,寻找其不一样的跳转位置,进行修改。
为了更快的找到不同的地方,可以在两个OD中都首先下断bp CreateFileA,中断后都Alt+F9返回!CreateFileA是检测文件的API,可能有多个中断位置,注意看堆栈中是否出现该函数,以找到正确位置。如下图
4.程序暗桩
程序脱壳修复后无法运行,还可能是因为程序在入口点之后存在暗桩,比如INT 13。载入修复后的程序(当然它是无法运行的)F9运行发现了“莫名其妙”的异常了。(为什么是莫名其妙的异常?因为我已经忽略了所有的异常,好的,那我们就NOP掉他吧~~~保存!再打开看看~~OK了,可以运行~~
5.程序可运行,但点击某按钮等操作时提示错误()
异常设置:忽略除了内存访问异常之外的所有异常。
载入程序---F9运行---点击错误位置---OD停在出错位置---修改代码保存
暴力破解中需要了解的汇编命令:
1)比较语句,很简单只有一句
cmp
a,b
// 比较a与b。
什么叫做“ 比较a与b”呢?假设现在: a=1,b=2 那么执行了“cmp
a,b”后,程序就会把 1与2进行比较
2)跳转语句:难点,这一类语句所包含的对象比较多,一一来做以说明:
1) je或jz
// 相等则跳(机器码是74或84)
意思就是:如果a与b中的值相等,程序就会跳向指定的地址去执行
2) jne或jnz
// 不相等则跳(机器码是75或85)
意思与上一语句恰恰相反:如果a与b中的值不相等,程序就会跳向指定的地址去执行
cmp a,b
Je 12345678
Jne 87654321
3)jmp
// 无条件跳(机器码是EB)
这个跳转语句比较“霸道”。不论什么情况,只要遇到它程序就会跳向指定的地址去执行
cmp a,b
JMP 56789012
4) jb // 若小于则跳
这个语句的意思是:如果a中的值小于b中的值,程序就会跳向指定的地方去执行与它对应的语句
5)ja
// 若大于则跳。意义刚好相反
这个语句的意思是:如果a中的值大于b中的值,程序就会跳向指定的地方去执行与它对应的语句
这是黑鹰基础班的。。。
