【脫殼一般流程】
查殼(peid、fi、pe-scan)--->尋找oep(od)--->脫殼/dump(lordpe、pedumper、od自帶的脫殼外掛程式、petools)--->修復(import reconstructor)
【工具介紹】
1、查殼
peid--功能強大的偵殼工具,自帶脫殼外掛程式(但是,效果不怎麼樣)
工作原理:核心是userdb.txt(大家看看就完全明白了)[通過殼的入口特徵碼進行辨認]
使用方法:可以拖放、也可以把peid新增到右鍵選單裡面去
fi--功能強大的偵殼工具,dos介面。
使用方法:可以拖放、可以使用dos命令列
2、尋找oep
ollydbg的四個區域
左上角是cpu視窗,分別是位址,機器碼,彙編**,注釋;注釋新增方便,而且還能即時顯示函式的呼叫結果,返回值.
右上角是暫存器視窗,但不僅僅反映暫存器的狀況,還有好多東東;雙擊即可改變eflag的值,對於暫存器,指令執行後發生改變的暫存器會用紅色突出顯示.
cpu視窗下面還有乙個小視窗,顯示當前操作改變的暫存器狀態.
左下角是記憶體視窗.可以ascii或者unicode兩種方式顯示記憶體資訊.
右下角的是當前堆疊情況,還有注釋啊.
幾個經常使用的快捷鍵
f2:在需要的地方下斷點(int3型斷點)
f3:選擇開啟程式
f4:執行到所選擇的那一行
f7:單步進入
f8:單步跟蹤
f9:執行程式(執行程式)
其中要特別講一下3個f9的區別和作用:
根據ollydbg.hlp的中文翻譯
shift+f9 - 與f9相同,但是如果被除錯程式發生異常而中止,偵錯程式會首先嘗試執行被除錯程式指定的異常處理(請參考忽略kernel32中的記憶體非法訪問)。
ctrl+f9 - 執行直到返回,跟蹤程式直到遇到返回,在此期間不進入子函式也不更新cpu資料。因為程式是一條一條命令執行的,所以速度可能會慢一些。按esc鍵,可以停止跟蹤。
alt+f9 - 執行直到返回到使用者**段,跟蹤程式直到指令所屬於的模組不在系統目錄中,在此期間不進入子函式也不更新cpu資料。因為程式是一條一條執行的,所以速度可能會慢一些。按esc鍵,可以停止跟蹤。
看這些中文介紹大家可能還不是很明白,用我們通俗的語句來說就是:
ctrl+f9 執行至retn (一般到了retn之後接上f7返回)
alt+f9 執行至上層呼叫的下句
shift+f9 忽略異常執行
檔案:
1.其中包括該選單的下部有上次開啟的紀錄,該紀錄儲存有上次未清除的斷點.
2.附加.對付那些anti-debug程式.先執行程式,再執行od,檔案-->附加.
檢視:
1.執行模組(alt+e),檢視程式使用的動態鏈結庫
2.檢視斷點.alt+b
除錯:
1.執行(f9)引導程式後,執行!
2.暫停(f12)
3.單步進入(f7)遇見call進入!進入該子程式.
4.單步跳過(f8)遇見call不進去!
5.執行到返回(alt+f9)就是執行到該子程的返回語句
檢視-->檔案
二進位制檔案編輯功能.檢視-->檔案,開啟的檔案是二進位制顯示.選中要改變的機器指令,空格,修改,右擊-->儲存.
具體的用途在後面的幾殼脫殼課程當中將會用到,大家現在理解就行。在後面的操作中學會使用!
其他的一些具體的大家還是要看看od的中文幫助的
3、dump
od自帶的脫殼外掛程式--到達oep之後右鍵。。。
lordpe、pedumper--選擇所除錯的程序--右鍵--完整脫殼
4、修復
import reconstructor 1.6
1 1破解工具的介紹
脫殼一般流程 查殼 peid fi pe scan 尋找oep od 脫殼 dump lordpe pedumper od自帶的脫殼外掛程式 petools 修復 import reconstructor 工具介紹 1 查殼 peid 功能強大的偵殼工具,自帶脫殼外掛程式 但是,效果不怎麼樣 工作原...
軟體破解高手常用的破解工具介紹
劍客離不開劍,軟體破解高手也離不開軟體破解工具,合適的工具使你事半功倍,本文主要是介紹幾種軟體破解工具。1.除錯工具softice 2.除錯工具trw2000 3.反彙編工具wdasm8.93 4.hiew 5.visual basic程式除錯工具smartcheck 6.十六進製制編輯器 如 ul...
常用破解工具
破解離不開工具,合適的工具使你事半功倍,本課主要是介紹幾種破解工具,當然詳細的用法,參考後面幾課及範例。1.除錯工具softice 2.除錯工具trw2000 3.反彙編工具wda 8.93 4.hiew 5.visual basic程式除錯工具 artcheck 6.十六進製制編輯器 如 ultr...