01脱壳方法.01单步跟踪法

admin · 发表于 2011-10-26 08:48:19

一.脱壳的几种方法.

  1.单步跟踪法.

  2.ESP定律法.

  3.二次断点法.

  4.末次异常法.

  5.模拟跟踪法.

  6.SFX自动脱壳法.

  7.出口标志脱壳法.

  8.学会使用脚本脱壳.

  9.利用工具脱壳.

01.01单步跟踪法

  单步跟踪法就是利用OD的单条指令执行功能,从壳的入口一直执行到OEP,最终通过这个OEP将原程序Dump出来.当然,在单步跟踪的同时需要跳过一些不能执行的命令,本节课会详细讲解此问题.

单步跟踪法

  1.用OD载入待脱壳文件,如果出现该程序被压缩或者被加密提示,选择"否"(不分析代码)即可;

  2.向下单步跟踪,实现向下的跳转;

  3.遇到程序往上跳转的时候(包括循环),在回跳的下一句代码上单击并按键盘上的"F4"键跳过回跳指令;

  4.OD中的绿色灰色线表示跳转没有实现,不必理会,红色线条表示跳转已经实现;

  5.如果刚载入程序的时候,在附近有一个CALL指令,那么就要按键盘上的"F7"键跟进这个CALL内,不然程序很容易跑飞(运行起来);

  6.在跟踪的时候,如果执行某个CALL指令后就运行,一定要按键盘上的"F7"键进入这个CALL之内再单步跟踪;

  7.遇到在Popad指令下的远跳转指令时,要格外注意,因为这个跳转指令跳的目的地很可能就是OEP.

显示全部楼层 · 发表于 2011-10-26 14:25:43

提示: 作者被禁止或删除内容自动屏蔽

837156159sa · 发表于 2020-4-24 13:28:14

考古，这块化石是我的

账号		自动登录	找回密码
密码			【点我注册】

a8513618 该用户已被删除	发表于 2011-10-26 14:25:43 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
a8513618 该用户已被删除	发帖求助前要善用【论坛搜索】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【好评】和【金币】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
	回复支持反对使用道具举报显身卡