随笔分类 -  脱壳_一套详细

一套脱壳教程讲的十分详细
脱壳_详细_各种方法
摘要:1、ESP 定律 1.1、第10讲 压栈 --> 数据窗口跟随ESP的值,设置 硬件(软件)访问(写入)断点 --> (shift+)F9 2、内存镜像 2.1、第10讲 OD“内存映射”界面,第1个".rsrc"节设置 F2断点 --> Shift+F9 --> “内存映射”界面 00401000 阅读全文
posted @ 2016-06-23 13:54 DebugSkill 阅读(471) 评论(0) 推荐(0)
脱壳_详细_使用的方法_04
摘要:PS: 开始 难度中高级的壳 1、第16课 基础脱壳教程16:脱 ACProtect 1.32 (无Stolen Code) 1、设置异常,隐藏OD 2、SE处下内存访问断点 3、SHIFT+F9,F2,再一次SHIFT+F9,下断,再一次SHIFT+F9 4、取消所有断点 5、内存,0040100 阅读全文
posted @ 2016-06-14 10:46 DebugSkill 阅读(1735) 评论(0) 推荐(0)
脱壳_详细_使用的方法_03
摘要:1、第11课 基础脱壳教程11:附加数据的处理方法 [Overlay] 工具:overlay最终版 WIN HEX或HEX WORKSHOP 【80】【00:25】壳"nSPack 1.3" 北斗的壳,最后有个 "[Overlay]" 【138】【00:45】OD载入 【180】【00:59】快速脱 阅读全文
posted @ 2016-06-14 10:45 DebugSkill 阅读(1198) 评论(0) 推荐(0)
脱壳_详细_使用的方法_02
摘要:ZC: 需要将 每节课 里面 脱的每种壳 使用了哪些方法都记录下来 1、第6课 基础脱壳教程6:手脱EZIP 壳 (1)、单步 (A)、【510】【02:50】入口点是否找错 【550】【03:03】"d 4064F4"。向上拉,拉到全等于零的哪一个... 最后来到的是地址0x4062E4 【640 阅读全文
posted @ 2016-06-13 14:17 DebugSkill 阅读(621) 评论(0) 推荐(0)
脱壳_详细_OD命令
摘要:1、第2课 【3090】【10:18】"tc eip<00430000",此时 OD的左上角 显示 "跟踪"两个字 2、第3课 【2500】【08:20】at命令:"at GetVersion" 3、第4课 【760】【04:13】OD命令"d 425210" ZC: "d 425210" 和 "d 阅读全文
posted @ 2016-06-12 17:06 DebugSkill 阅读(383) 评论(0) 推荐(0)
脱壳_详细_语言入口
摘要:常见语言的入口点: 6、 阅读全文
posted @ 2016-06-12 09:37 DebugSkill 阅读(307) 评论(0) 推荐(0)
脱壳_详细_涉及到的壳
摘要:1、手脱UPX壳 常见压缩壳 2、手脱ASPACK壳 3、手脱Nspack壳 4、手脱FSG壳 5、手脱PECompact2.X壳 6、手脱EZIP壳 7、手脱TELock0.98b1壳 8、手脱EXE32PACK壳 9、脱WinUpack加的壳 10、脱壳基本的思路及小结 11、附加数据的处理方法 阅读全文
posted @ 2016-06-12 09:07 DebugSkill 阅读(269) 评论(0) 推荐(0)
脱壳_详细_ZC
摘要:1、第1课 【1892】【10:30】"dd ESP" / "hr ESP" OD工具栏里面的 按钮"C" 就是来到 反汇编窗口 2、脱完壳,修复完之后,还是无法运行,可以尝试一下方式: (1)、尝试手动修复IAT ==> 第4课【1233】【06:50】 (2)、尝试 LoadPE-->"重建PE 阅读全文
posted @ 2016-06-12 09:04 DebugSkill 阅读(236) 评论(0) 推荐(0)
脱壳_详细_使用的工具
摘要:1、第1课 PEID(查壳)、OD 2、 3、 阅读全文
posted @ 2016-06-12 08:57 DebugSkill 阅读(258) 评论(0) 推荐(0)
脱壳_详细_使用的方法_01
摘要:ZC: 如何确定被调试程序已经来到了 未加壳的程序中? ZC: 视频中是使用判断集中语言的特征 ZC: 我的方法:上面的方式 + ESP平衡 1、第1课 (1)、单步跟踪(原则:向下的跳转==>正常F8,向上的跳转==>F4跳过(或者用F2 达到相同效果)) 【930】【05:10】一般来说,很大跨 阅读全文
posted @ 2016-06-12 08:56 DebugSkill 阅读(922) 评论(0) 推荐(0)