摘要：一、工具及壳介绍 使用工具：Ollydbg，PEID，ImportREC，LoadPE，IDA，Universal Import Fixer，OllySubScript 此篇是加密壳的第二篇，更详细的步骤和思考，请查看第一篇：手工脱壳之 未知加密壳 【IAT加密+混淆+花指令】 PESpin壳： 二 阅读全文

摘要：一、工具及壳介绍 使用工具：Ollydbg，PEID，ImportREC，LoadPE，OllySubScript 未知IAT加密壳： 二、初步脱壳 尝试用ESP定律。 疑似OEP，VC6.0特征 进第一个CALL查看 确认是OEP。 OEP地址 = 47148b，RVA = 7148b 导入表函数 阅读全文

摘要：一、工具及壳介绍 使用工具：Ollydbg，PEID，ImportREC，LoadPE，010Editor UPX壳 3.94： 有了上篇ASPack壳的经验，先查看数据目录表： 可知是upx壳通过PE加载器修复自我重定位信息。 二、脱壳 1、ESP定律 入口： 通过ESP定律，ESP下硬件断点。 阅读全文

摘要：一、工具及壳介绍 使用工具：Ollydbg，PEID，ImportREC，LoadPE FSG壳 2.0： 二、脱壳 1、追踪 修复IAT表代码 入口处，没有pushad特征，无法使用ESP定律。 查看导入表信息。 推测壳利用LoadLibrary 和 GetProcAddress 修复exe IA 阅读全文

摘要：一、工具及壳介绍 使用工具：Ollydbg，PEID，ImportREC，LoadPE ASPack壳： 二、脱壳 1.ESP定律 ASPack壳明显多了两个区段： 开头是pushad，可以采用ESP定律脱壳。 在esp下硬件断点： 断下来的地方单步几步，来到OEP。 第一个call是VC特征初始化 阅读全文