當(dāng)前位置: 首頁(yè) > news >正文 良鄉(xiāng)網(wǎng)站建設(shè)百度應(yīng)用 news 2025/7/1 22:05:44 良鄉(xiāng)網(wǎng)站建設(shè),百度應(yīng)用,做網(wǎng)站營(yíng)銷怎么去推廣,天元建設(shè)集團(tuán)有限公司社會(huì)信用代碼一、概論殼出于程序作者想對(duì)程序資源壓縮、注冊(cè)保護(hù)的目的,把殼分為壓縮殼和加密殼兩種UPX ASPCAK TELOCK PELITE NSPACK ...ARMADILLO ASPROTECT ACPROTECT EPE SVKP ...顧名思義,壓縮殼只是為了減小程序體積對(duì)資源進(jìn)行壓縮,加密殼是程序輸入…一、概論 殼出于程序作者想對(duì)程序資源壓縮、注冊(cè)保護(hù)的目的,把殼分為壓縮殼和加密殼兩種 UPX ASPCAK TELOCK PELITE NSPACK ... ARMADILLO ASPROTECT ACPROTECT EPE SVKP ... 顧名思義,壓縮殼只是為了減小程序體積對(duì)資源進(jìn)行壓縮,加密殼是程序輸入表等等進(jìn)行加密保護(hù)。當(dāng)然加密殼的保護(hù)能力要強(qiáng)得多! 二、常見脫殼方法 預(yù)備知識(shí) 1.PUSHAD (壓棧) 代表程序的入口點(diǎn), 2.POPAD (出棧) 代表程序的出口點(diǎn),與PUSHAD想對(duì)應(yīng),一般找到這個(gè)OEP就在附近 3.OEP:程序的入口點(diǎn),軟件加殼就是隱藏了OEP(或者用了假的OEP/FOEP),只要我們找到程序真正的OEP,就可以立刻脫殼。 方法一:單步跟蹤法 1.用OD載入,點(diǎn)“不分析代碼!” 2.單步向下跟蹤F8,實(shí)現(xiàn)向下的跳。也就是說向上的跳不讓其實(shí)現(xiàn)!(通過F4) 3.遇到程序往回跳的(包括循環(huán)),我們?cè)谙乱痪浯a處按F4(或者右健單擊代碼,選擇斷點(diǎn)——>運(yùn)行到所選) 4.綠色線條表示跳轉(zhuǎn)沒實(shí)現(xiàn),不用理會(huì),紅色線條表示跳轉(zhuǎn)已經(jīng)實(shí)現(xiàn)! 5.如果剛載入程序,在附近就有一個(gè)CALL的,我們就F7跟進(jìn)去,不然程序很容易跑飛,這樣很快就能到程序的OEP 6.在跟蹤的時(shí)候,如果運(yùn)行到某個(gè)CALL程序就運(yùn)行的,就在這個(gè)CALL中F7進(jìn)入 7.一般有很大的跳轉(zhuǎn)(大跨段),比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN的一般很快就會(huì)到程序的OEP。 Btw:在有些殼無法向下跟蹤的時(shí)候,我們可以在附近找到?jīng)]有實(shí)現(xiàn)的大跳轉(zhuǎn),右鍵-->“跟隨”,然后F2下斷,Shift+F9運(yùn)行停在“跟隨”的位置,再取消斷點(diǎn),繼續(xù)F8單步跟蹤。一般情況下可以輕松到達(dá)OEP! 方法二:ESP定律法 ESP定理脫殼(ESP在OD的寄存器中,我們只要在命令行下ESP的硬件訪問斷點(diǎn),就會(huì)一下來到程序的OEP了!) 1.開始就點(diǎn)F8,注意觀察OD右上角的寄存器中ESP有沒突現(xiàn)(變成紅色)。(這只是一般情況下,更確切的說我們選擇的ESP值是關(guān)鍵句之后的第一個(gè)ESP值) 2.在命令行下:dd XXXXXXXX(指在當(dāng)前代碼中的ESP地址,或者是hr XXXXXXXX),按回車! 3.選中下斷的地址,斷點(diǎn)--->硬件訪--->WORD斷點(diǎn)。 4.按一下F9運(yùn)行程序,直接來到了跳轉(zhuǎn)處,按下F8,到達(dá)程序OEP。 方法三:內(nèi)存鏡像法 1:用OD打開軟件! 2:點(diǎn)擊選項(xiàng)——調(diào)試選項(xiàng)——異常,把里面的忽略全部√上!CTRL+F2重載下程序! 3:按ALT+M,打開內(nèi)存鏡象,找到程序的第一個(gè).rsrc.按F2下斷點(diǎn),然后按SHIFT+F9運(yùn)行到斷點(diǎn),接著再按ALT+M,打開內(nèi)存鏡象,找到程序的第一個(gè).rsrc.上面的.CODE(也就是00401000處),按F2下斷點(diǎn)!然后按SHIFT+F9(或者是在沒異常情況下按F9),直接到達(dá)程序OEP! 方法四:一步到達(dá)OEP 1.開始按Ctrl+F,輸入:popad(只適合少數(shù)殼,包括UPX,ASPACK殼),然后按下F2,F9運(yùn)行到此處 2.來到大跳轉(zhuǎn)處,點(diǎn)下F8,到達(dá)OEP! 方法五:最后一次異常法 1:用OD打開軟件 2:點(diǎn)擊選項(xiàng)——調(diào)試選項(xiàng)——異常,把里面的√全部去掉!CTRL+F2重載下程序 3:一開始程序就是一個(gè)跳轉(zhuǎn),在這里我們按SHIFT+F9,直到程序運(yùn)行,記下從開始按SHIFT+F9到程序運(yùn)行的次數(shù)m! 4:CTRL+F2重載程序,按SHIFT+F9(這次按的次數(shù)為程序運(yùn)行的次數(shù)m-1次) 5:在OD的右下角我們看見有一個(gè)"SE 句柄",這時(shí)我們按CTRL+G,輸入SE 句柄前的地址! 6:按F2下斷點(diǎn)!然后按SHIFT+F9來到斷點(diǎn)處! 7:去掉斷點(diǎn),按F8慢慢向下走! 8:到達(dá)程序的OEP! 方法六:模擬跟蹤法 1:先試運(yùn)行,跟蹤一下程序,看有沒有SEH暗樁之類 2:ALT+M打開內(nèi)存鏡像,找到(包含=SFX,imports,relocations) 內(nèi)存鏡像,項(xiàng)目 30 地址=0054B000 大小=00002000 (8192.) Owner=check 00400000 區(qū)段=.aspack 包含=SFX,imports,relocations 類型=Imag 01001002 訪問=R 初始訪問=RWE 3:地址為0054B000,如是我們?cè)诿钚休斎雝c eip<0054B000,回車,正在跟蹤ing。。 Btw:大家在使用這個(gè)方法的時(shí)候,要理解他是要在怎么樣的情況下才可以使用 方法七:“SFX”法 1:設(shè)置OD,忽略所有異常,也就是說異常選項(xiàng)卡里面都打上勾 2:切換到SFX選項(xiàng)卡,選擇“字節(jié)模式跟蹤實(shí)際入口(速度非常慢)”,確定。 3:重載程序(如果跳出是否“壓縮代碼?”選擇“否”,OD直接到達(dá)OEP) Btw:這種方法不要濫用得好,鍛煉能力為妙。 查看全文 http://www.risenshineclean.com/news/30808.html 相關(guān)文章: 經(jīng)營(yíng)網(wǎng)站需要什么資質(zhì)網(wǎng)站推廣在哪好 自己做新聞網(wǎng)站推廣衣服的軟文 vs2017 如何做網(wǎng)站網(wǎng)絡(luò)營(yíng)銷課程主要講什么內(nèi)容 贛州市微程網(wǎng)絡(luò)科技有限公司徐州自動(dòng)seo 網(wǎng)站業(yè)務(wù)費(fèi)如何做記賬憑證優(yōu)化分析 做網(wǎng)站做推廣有效果嗎做廣告推廣哪個(gè)平臺(tái)好 企業(yè)官網(wǎng)建站流程免費(fèi)建站的網(wǎng)站哪個(gè)好 自助免費(fèi)建站系統(tǒng)電池優(yōu)化大師下載 河北保定疫情最新消息今天封城了seo權(quán)重是什么意思 如何用電腦做網(wǎng)站服務(wù)器市場(chǎng)seo是什么意思 政府網(wǎng)站建設(shè)公司 政務(wù)qq推廣引流網(wǎng)站 境外公司注冊(cè)優(yōu)化工具箱下載 做圖網(wǎng)站有哪些線上網(wǎng)絡(luò)推廣怎么做 導(dǎo)航欄網(wǎng)站模板特效搭建一個(gè)網(wǎng)站的流程 中國(guó)企業(yè)培訓(xùn)網(wǎng)蘭州seo培訓(xùn) 如何建設(shè)網(wǎng)站山東濟(jì)南興田德潤(rùn)官網(wǎng)域名檢測(cè)工具 俄語網(wǎng)站建設(shè)公司沒經(jīng)驗(yàn)可以做電商運(yùn)營(yíng)嗎 模仿京東商城網(wǎng)站開發(fā)視頻蘋果自研搜索引擎或?yàn)樘娲雀?/a> 免抵退稅在哪個(gè)網(wǎng)站做北京新聞最新消息 電商網(wǎng)站建設(shè)與運(yùn)營(yíng)seo專員工作容易學(xué)嗎 順德新網(wǎng)站制作行業(yè)關(guān)鍵詞一覽表 個(gè)人網(wǎng)站如何做專業(yè)的營(yíng)銷團(tuán)隊(duì)哪里找 廣州做網(wǎng)站哪家好網(wǎng)站推廣怎么做有效果 網(wǎng)站公安備案網(wǎng)址電商平臺(tái)怎么加入 凡科免費(fèi)建設(shè)企業(yè)網(wǎng)站靠譜嗎個(gè)人做外貿(mào)怎樣起步 電子商務(wù)網(wǎng)站建設(shè)花費(fèi)今日新聞?lì)^條新聞最新 泗陽(yáng)城鄉(xiāng)建設(shè)局網(wǎng)站域名seo查詢 百度優(yōu)化網(wǎng)站建設(shè)wordpress外貿(mào)獨(dú)立站 網(wǎng)站維護(hù)需要會(huì)什么海外免費(fèi)網(wǎng)站推廣 網(wǎng)站建設(shè)中代碼怎么自己做網(wǎng)頁(yè)
一、概論 殼出于程序作者想對(duì)程序資源壓縮、注冊(cè)保護(hù)的目的,把殼分為壓縮殼和加密殼兩種 UPX ASPCAK TELOCK PELITE NSPACK ... ARMADILLO ASPROTECT ACPROTECT EPE SVKP ... 顧名思義,壓縮殼只是為了減小程序體積對(duì)資源進(jìn)行壓縮,加密殼是程序輸入表等等進(jìn)行加密保護(hù)。當(dāng)然加密殼的保護(hù)能力要強(qiáng)得多! 二、常見脫殼方法 預(yù)備知識(shí) 1.PUSHAD (壓棧) 代表程序的入口點(diǎn), 2.POPAD (出棧) 代表程序的出口點(diǎn),與PUSHAD想對(duì)應(yīng),一般找到這個(gè)OEP就在附近 3.OEP:程序的入口點(diǎn),軟件加殼就是隱藏了OEP(或者用了假的OEP/FOEP),只要我們找到程序真正的OEP,就可以立刻脫殼。 方法一:單步跟蹤法 1.用OD載入,點(diǎn)“不分析代碼!” 2.單步向下跟蹤F8,實(shí)現(xiàn)向下的跳。也就是說向上的跳不讓其實(shí)現(xiàn)!(通過F4) 3.遇到程序往回跳的(包括循環(huán)),我們?cè)谙乱痪浯a處按F4(或者右健單擊代碼,選擇斷點(diǎn)——>運(yùn)行到所選) 4.綠色線條表示跳轉(zhuǎn)沒實(shí)現(xiàn),不用理會(huì),紅色線條表示跳轉(zhuǎn)已經(jīng)實(shí)現(xiàn)! 5.如果剛載入程序,在附近就有一個(gè)CALL的,我們就F7跟進(jìn)去,不然程序很容易跑飛,這樣很快就能到程序的OEP 6.在跟蹤的時(shí)候,如果運(yùn)行到某個(gè)CALL程序就運(yùn)行的,就在這個(gè)CALL中F7進(jìn)入 7.一般有很大的跳轉(zhuǎn)(大跨段),比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN的一般很快就會(huì)到程序的OEP。 Btw:在有些殼無法向下跟蹤的時(shí)候,我們可以在附近找到?jīng)]有實(shí)現(xiàn)的大跳轉(zhuǎn),右鍵-->“跟隨”,然后F2下斷,Shift+F9運(yùn)行停在“跟隨”的位置,再取消斷點(diǎn),繼續(xù)F8單步跟蹤。一般情況下可以輕松到達(dá)OEP! 方法二:ESP定律法 ESP定理脫殼(ESP在OD的寄存器中,我們只要在命令行下ESP的硬件訪問斷點(diǎn),就會(huì)一下來到程序的OEP了!) 1.開始就點(diǎn)F8,注意觀察OD右上角的寄存器中ESP有沒突現(xiàn)(變成紅色)。(這只是一般情況下,更確切的說我們選擇的ESP值是關(guān)鍵句之后的第一個(gè)ESP值) 2.在命令行下:dd XXXXXXXX(指在當(dāng)前代碼中的ESP地址,或者是hr XXXXXXXX),按回車! 3.選中下斷的地址,斷點(diǎn)--->硬件訪--->WORD斷點(diǎn)。 4.按一下F9運(yùn)行程序,直接來到了跳轉(zhuǎn)處,按下F8,到達(dá)程序OEP。 方法三:內(nèi)存鏡像法 1:用OD打開軟件! 2:點(diǎn)擊選項(xiàng)——調(diào)試選項(xiàng)——異常,把里面的忽略全部√上!CTRL+F2重載下程序! 3:按ALT+M,打開內(nèi)存鏡象,找到程序的第一個(gè).rsrc.按F2下斷點(diǎn),然后按SHIFT+F9運(yùn)行到斷點(diǎn),接著再按ALT+M,打開內(nèi)存鏡象,找到程序的第一個(gè).rsrc.上面的.CODE(也就是00401000處),按F2下斷點(diǎn)!然后按SHIFT+F9(或者是在沒異常情況下按F9),直接到達(dá)程序OEP! 方法四:一步到達(dá)OEP 1.開始按Ctrl+F,輸入:popad(只適合少數(shù)殼,包括UPX,ASPACK殼),然后按下F2,F9運(yùn)行到此處 2.來到大跳轉(zhuǎn)處,點(diǎn)下F8,到達(dá)OEP! 方法五:最后一次異常法 1:用OD打開軟件 2:點(diǎn)擊選項(xiàng)——調(diào)試選項(xiàng)——異常,把里面的√全部去掉!CTRL+F2重載下程序 3:一開始程序就是一個(gè)跳轉(zhuǎn),在這里我們按SHIFT+F9,直到程序運(yùn)行,記下從開始按SHIFT+F9到程序運(yùn)行的次數(shù)m! 4:CTRL+F2重載程序,按SHIFT+F9(這次按的次數(shù)為程序運(yùn)行的次數(shù)m-1次) 5:在OD的右下角我們看見有一個(gè)"SE 句柄",這時(shí)我們按CTRL+G,輸入SE 句柄前的地址! 6:按F2下斷點(diǎn)!然后按SHIFT+F9來到斷點(diǎn)處! 7:去掉斷點(diǎn),按F8慢慢向下走! 8:到達(dá)程序的OEP! 方法六:模擬跟蹤法 1:先試運(yùn)行,跟蹤一下程序,看有沒有SEH暗樁之類 2:ALT+M打開內(nèi)存鏡像,找到(包含=SFX,imports,relocations) 內(nèi)存鏡像,項(xiàng)目 30 地址=0054B000 大小=00002000 (8192.) Owner=check 00400000 區(qū)段=.aspack 包含=SFX,imports,relocations 類型=Imag 01001002 訪問=R 初始訪問=RWE 3:地址為0054B000,如是我們?cè)诿钚休斎雝c eip<0054B000,回車,正在跟蹤ing。。 Btw:大家在使用這個(gè)方法的時(shí)候,要理解他是要在怎么樣的情況下才可以使用 方法七:“SFX”法 1:設(shè)置OD,忽略所有異常,也就是說異常選項(xiàng)卡里面都打上勾 2:切換到SFX選項(xiàng)卡,選擇“字節(jié)模式跟蹤實(shí)際入口(速度非常慢)”,確定。 3:重載程序(如果跳出是否“壓縮代碼?”選擇“否”,OD直接到達(dá)OEP) Btw:這種方法不要濫用得好,鍛煉能力為妙。 查看全文 http://www.risenshineclean.com/news/30808.html 相關(guān)文章: 經(jīng)營(yíng)網(wǎng)站需要什么資質(zhì)網(wǎng)站推廣在哪好 自己做新聞網(wǎng)站推廣衣服的軟文 vs2017 如何做網(wǎng)站網(wǎng)絡(luò)營(yíng)銷課程主要講什么內(nèi)容 贛州市微程網(wǎng)絡(luò)科技有限公司徐州自動(dòng)seo 網(wǎng)站業(yè)務(wù)費(fèi)如何做記賬憑證優(yōu)化分析 做網(wǎng)站做推廣有效果嗎做廣告推廣哪個(gè)平臺(tái)好 企業(yè)官網(wǎng)建站流程免費(fèi)建站的網(wǎng)站哪個(gè)好 自助免費(fèi)建站系統(tǒng)電池優(yōu)化大師下載 河北保定疫情最新消息今天封城了seo權(quán)重是什么意思 如何用電腦做網(wǎng)站服務(wù)器市場(chǎng)seo是什么意思 政府網(wǎng)站建設(shè)公司 政務(wù)qq推廣引流網(wǎng)站 境外公司注冊(cè)優(yōu)化工具箱下載 做圖網(wǎng)站有哪些線上網(wǎng)絡(luò)推廣怎么做 導(dǎo)航欄網(wǎng)站模板特效搭建一個(gè)網(wǎng)站的流程 中國(guó)企業(yè)培訓(xùn)網(wǎng)蘭州seo培訓(xùn) 如何建設(shè)網(wǎng)站山東濟(jì)南興田德潤(rùn)官網(wǎng)域名檢測(cè)工具 俄語網(wǎng)站建設(shè)公司沒經(jīng)驗(yàn)可以做電商運(yùn)營(yíng)嗎 模仿京東商城網(wǎng)站開發(fā)視頻蘋果自研搜索引擎或?yàn)樘娲雀?/a> 免抵退稅在哪個(gè)網(wǎng)站做北京新聞最新消息 電商網(wǎng)站建設(shè)與運(yùn)營(yíng)seo專員工作容易學(xué)嗎 順德新網(wǎng)站制作行業(yè)關(guān)鍵詞一覽表 個(gè)人網(wǎng)站如何做專業(yè)的營(yíng)銷團(tuán)隊(duì)哪里找 廣州做網(wǎng)站哪家好網(wǎng)站推廣怎么做有效果 網(wǎng)站公安備案網(wǎng)址電商平臺(tái)怎么加入 凡科免費(fèi)建設(shè)企業(yè)網(wǎng)站靠譜嗎個(gè)人做外貿(mào)怎樣起步 電子商務(wù)網(wǎng)站建設(shè)花費(fèi)今日新聞?lì)^條新聞最新 泗陽(yáng)城鄉(xiāng)建設(shè)局網(wǎng)站域名seo查詢 百度優(yōu)化網(wǎng)站建設(shè)wordpress外貿(mào)獨(dú)立站 網(wǎng)站維護(hù)需要會(huì)什么海外免費(fèi)網(wǎng)站推廣 網(wǎng)站建設(shè)中代碼怎么自己做網(wǎng)頁(yè)