找到OEP以后如何脱壳?
找OEP的一般思路如下: 先看壳是加密壳还是压缩壳,压缩壳相对来说容易些,一般是没有异常,找到对应的popad后就能到入口,跳到入口的方式一般为:jmp OEP、push OEP ret、call OEP,当然也有其它的,如 je OEP等等,一般都是段之间的大跳转,OD的反汇编窗口里都是同一个段的内容,所以更好区别是否是段间跳转。
我就知道这些了...不好意思 我是计算机初学者
我还头一回见到有PE文件达到上G的 泪奔。。。。
有可能是你根本没有权限读取相应的区段
右键 OD自带脱壳插件
这个是基础!
搜索UPX脱壳视频教程应该有相关方面的演示
OEP的脱壳方法
常见寻找OEP脱壳的方法方法一:1.用OD载入,不分析代码!2.单步向下跟踪F8,是向下跳的让它实现3.遇到程序往回跳的(包括循环),我们在下一句代码处按F4(或者右健单击代码,选择断点——运行到所选)4.绿色线条表示跳转没实现,不用理会,红色线条表示跳转已经实现!5.如果刚载入程序,在附近就有一...
找到OEP以后如何脱壳?
LoadPE dump出来,然后修复。
exe软件脱壳教程(exe手动进行脱壳详细步骤方法)
单步跟踪法:通过动态调试工具如Ollydbg的单步执行功能,逐步走过自脱壳过程,直到到达OEP。ESP定律法:利用程序堆栈平衡,观察寄存器操作,找到解压后的代码段。内存镜像法:设置内存断点,在程序资源段和代码段间切换,捕捉解压后的OEP。一步到达OEP:针对特定壳,通过搜索壳的特征汇编代码找到接近OEP的断点。
软件如何脱壳,用什么软件脱壳
(一)aspack壳脱壳可用unaspack或caspr1.unaspack,使用方法类似lanuage,傻瓜式软件,运行后选取待脱壳的软件即可.缺点:只能脱aspack早些时候版本的壳,不能脱高版本的壳2.caspr第一种:待脱壳的软件(如aa.exe)和caspr.exe位于同一目录下,执行windows起始菜单的运行,键入caspraa.exe脱壳后的文件为aa.ex_,删掉原来的...
新手用OD脱壳
你好 脱壳时我们如何辨认快到OEP了呢.(快到OEP时,都有哪些共同现象).若出现下面情况时,说明OEP就要到了:1.跟踪时如果发现:popadpopfd或popad 2.同时,紧接着,有retn ,jmp等其它跳转指令,发生跨段跳跃时.这说明也许我们马上要到OEP,但不能一概而论。3.个人觉得是否达到OEP最直接的方法就是记牢《...
VMP到达OEP后dump出来的怎么还是原程序
想要脱VMP的壳,首要工作当然是要找一个强OD。至于是什么版本的OD自己多试验几个,网上有很多,一般来说只要加载了你想脱的VMP 加壳 程序不关闭都可以。其次,就是StrongOD.dll这个插件了
如何给程序脱壳
1.开始按Ctrl+F,输入:popad,然后按下F2下断,按F9运行到此处.2.很快来到大跳转,按F8向下走,来到OEP.--- 方法五:利用内存异常(选项--异常,中下面勾都去掉)--- shift+F9 几次 运行后记住运行了几次后打开的软件 重新导入,shift+F9 运行比刚才少一次,观察od右下角SE异常,记下前面地址...
求救:Ollydbg脱壳办法
OEP 是程序脱壳真正的入口,脱壳的主要工作还是寻找OEP.一般遇到,popad、popfd,再有大的跳转就是了。上面的方法是用堆栈平衡原理,跟踪初始堆栈弹出时大概就是OEP所在。http:\/\/www.hookbase.com\/design\/poj\/200607\/4076.html 这个是讲脱壳的。建议楼主把汇编弄熟。参考资料:http:\/\/zhidao.baidu.com\/...
逆向基础:软件手动脱壳技术入门
tElock脱壳:利用异常计数器或二次内存断点法,找到并修复OEP,避免CRC校验错误,最终得到脱壳程序。PEncrypt脱壳:通过最后一次异常法,避开程序陷阱,利用LoadPE的重建PE功能,完整脱壳。FSG变形壳脱壳:使用ESP定律和分析循环结构找到magic jump,修复无效指针后,通过LoadPE进行脱壳。总之,手动脱壳涉及深入...
脱壳为什么一定要找到oep?
oep就是程序真正的入口点,所谓壳就是,给程序文件加上一个壳,穿上个衣服,让你不认识,走到oep了,就是未加密的状态,
驷童阿贝: PEID如果能识别出编译语言,就说明已经脱壳了.用OD把脱壳的代码转存一下.
郏县18655668815: 手动脱壳中找到入口点后怎么做 - ?
驷童阿贝: 首先,选取工具.一般来说,查壳工具,PEiD(fi)也不错;调试工具OD(OICE也不错);找到入口点(OEP)之后LoadPE载入,Dump出,然后一般用ImportREC修复一下.方法主要有一下几种:1,F8单步跟踪法,这个也是最常见的.2.内存镜像法.3,一步到达4,SFX法 5,最后一次异常法 6,模拟跟踪法 差不多就这些吧,主要是看你灵活运用了. 如果你真的想学的话,加我Q619685693 GoWithWind
郏县18655668815: OD手动脱壳的一般步骤是那些??
驷童阿贝: 1.首先用查壳软件,查软件是什么壳.查明后,把要脱壳的软件放入OD中,以压缩壳为例,F8单步走,只能让程序往前跳,不能让程序往后跳,用F2或F4下断点就可以.当达到OEP后,就可以用PE工具脱壳了. 建议看看三人行以前做的脱壳初中高教程.以前爱国者安全网.
郏县18655668815: oep是什么? - ?
驷童阿贝: 常见脱壳知识: 1.PUSHAD (压栈) 代表程序的入口点 2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近拉! 3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP), 只要我们找到程序真正的OEP,就可以立刻脱壳. 这里不能复制太多重复字符,判断方法,我给你网站你看吧!里面分析的很全面. http://hi.baidu.com/shadouyou/blog/item/1912442c8a4f30e98b13993c.html
郏县18655668815: 软件脱壳工具有哪些 - ?
驷童阿贝: 常见的脱壳工具有两种:1.OD自带脱壳插件鼠标右键菜单,选择"Dump debugged process"->设置Entry Point->点击"Dump"2.LordPE LordPE进程列表中选择目标进程->鼠标右键菜单,选择"完整脱壳";脱壳步骤查壳 使用PEID, PE-SCAN等查壳工具查壳查找OEP 使用OllyDbg跟踪调试找到OEP脱壳 右键使用OLLYDBG自带的脱壳插件修复 脱下的程序如果不能执行,使用Import ReConstructor工具修复
郏县18655668815: 谁会ESP脱壳定理教我一下 - ?
驷童阿贝: ESP定律法 ESP定理脱壳(ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了!)1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突现(变成红色).(这只是一般情况下,更确切的说我们...
郏县18655668815: android怎样破解已使用加壳技术的APP - ?
驷童阿贝: 破解加了dex壳的app,关键是要获得解密后的源dex,现在Android加壳技术大多都是通过DexClassLoader或者隐藏的函数openDexFile来将源dex加载进来,然后动态替换Application来启动源程序,跟Windows上传统的PE文件加壳有一定区别...
郏县18655668815: 如何给程序脱壳 - ?
驷童阿贝: 你这个问题太过于笼统,其实破解中的脱壳是一个非常复杂的过程,有些壳很容易脱掉,在网上也可以找到相应的脱壳机,有些复杂的壳就需要手动脱壳,我觉得脱壳也可以成为一门复杂的学科,毕竟要破解就要学会脱壳,以前我也曾经看过很...
郏县18655668815: 如何对软件脱壳 - ?
驷童阿贝: 脱壳主要有两种方法:硬脱壳和动态脱壳. 第一种,是硬脱壳,这是指找出加壳软件的加壳算法,写出逆向算法,就像压缩和解压缩一样.由于现在的壳有加密、变形、虚拟环境等等特点,每次加壳生成的代码都不一样.硬脱壳对此无能为力,...
郏县18655668815: 如何使用脱壳脚本? - ?
驷童阿贝: 选对脚本,就自动脱壳了,等到脚本到达OEP后,就用lordPe脱壳,在用ImportRec修复一下.有时候要修复IAT和其他东西的!
