破解入门(四)-----实战"单步跟踪法"脱壳

最新推荐文章于 2022-07-03 00:12:52 发布
最新推荐文章于 2022-07-03 00:12:52 发布 · 675 阅读 · 6

本文介绍了一种破解程序加壳的方法,首先通过PEID等工具判断程序是否加壳及加壳类型,接着利用OllyDbg(OD)的单步跟踪法寻找原始入口点(OEP),并详细演示了如何脱壳、修复资源,使程序恢复正常运行。

背景

破解的第一步是判断所要破解的程序是否加壳了,如果程序加壳了,需要将壳脱掉再来破解,所以脱壳是破解的第一步

单步跟踪法的步骤

1)用OD载入,点“不分析代码”

2.单步向下跟踪F8,实现向下的跳。也就是说向上的跳不让其实现(通过F4

3)遇到程序往回跳的(包括循环),我们在下一句代码处按F4(或者右健单击代码,选择断点——>运行到所选)

4)绿色线条表示跳转没实现,不用理会,红色线条表示跳转已经实现

5)如果刚载入程序,在附近就有一个CALL的,我们就F7跟进去,不然程序很容易跑 飞,这样很快就能到程序的OEP

6)在跟踪的时候,如果运行到某个CALL程序就运行的,就在这个CALLF7进入

7)一般有很大的跳转(大跨段),比如jmpXXXXXX或者JEXXXXXX或者有RETN 的一般很快就会到程序的OEP

注:在有些壳无法向下跟踪的时候,我们可以在附近找到没有实现的大跳转,右键-->“跟随”,然后F2下断,Shift+F9运行停在“跟随”的位置,再取消断点,继续F8单步跟踪。一般情况下可以轻松到达OEP

实战

1查壳

PEID等查壳工具查看所需要破解的程序是否加壳了,加的什么壳。PEID的工作原理大家看看PEID目录下的userdb.txt文件就知道了,PEID通过壳的入口特征码进行辨认程序是加了什么壳

PEID查壳的结果如下图,可以看出程序加了ASPack2.12的壳

2寻找OEP

(1)用OD载入该程序

(2)使用F8单步补过,在靠近入口处的第一个callcall0040D00A)使用F7单步步入,call子程序中使用F8单步补过,没有发现有用的信息,在靠近入口的第二个callcall 0040D014使用F7单步步入,否则程序会跑飞,下图是刚进入第二个call处的截图

(2)根据"单步跟踪法"中的原则,一步一步调试,遇到向上跳转,则将鼠标点到该跳转的下一行,然后F4运行到这一行(如果让程序向上跳转,则可能程序往反方向跳转,无休无止,也就找不到OEP),向下跳转则不用处理,需要注意的是绿色线条表示跳转没实现,不用理会,红色线条表示跳转已经实现,在下面的注释窗口会有该提示,下图就是一个没有实现的跳转

(2)按照步骤(3)中的方式执行很快就会看到下图现象,出现了popad这条指令,然后 push004010CC,将004010CC这个地址入栈,后面紧跟着一个retn,程序就会返回到 004010CC这个地址继续执行程序,004010CC与当前地址0040D3BF之间有个很大的跳转,由此可以判断马上将到达程序的OEP

(2)在retn上在按下F8单步步过即可到达OEPOEP地址004010CC

3脱壳(Dump)

(1)在OEPOEP地址004010CC)处使用OD插件脱壳,在004010CC上点击鼠标右键, 选择该菜单下的Dumpdebuggedprocess,会弹出如下对话框,从下图最底Rebuild Import选项下可以看出该插件提供了两种脱壳方式

(2)分别用Method1Method2脱壳,点击Dump按钮然后选择文件的保存位置即可脱壳

3)当然也可以用LordPE来脱壳,选中要脱壳的进程notepad.exe,因为使用OD加载的时候已经启动该进程

(4)在该进程上右键,选择该菜单下的修正镜像大小,结果如下图

(5)在该进程上右键,选择该菜单下的完整转存(也有的翻译是完全脱壳),会弹出文件保 存位置对话框,填好文件名称后保存即可,成功后会弹出如下对话框

(6)再次用PEID检测unpack1.exeunpack2.exeunpack3.exe,会发现程序已经是无壳的

(7)分别打开已经脱壳完成的unpack1.exeunpack2.exeunpack3.exe,会发现unpack3.exe运行后出现如下错误,则在该种情况下需要修复资源

4修复

(1)使用到的修复工具是ImportFix,打开ImportFix,打开notepad.exe这个进程,因为用OD载入加壳程序notepad.exe后,会产生notepad.exe这个进程(此时需要OD中将程序调试运行到OEP处,即004010CC处,否则在下面的自动查找IAT会失败)

(2)将OEP那一栏修改成刚才在OD中找到的OEP地址000010CC,然后点击自动查找 IAT,则RVA和大小这一栏中数据会改变

(3)点击确定后,点击获取输入表按钮,结果如下图,其中找到的输入表函数里面的函数 是程序运行需要的一些系统API

(4)点击显示无效函数后,发现没有,在点击修复转存文件按钮,选择要修复的unpack3.exe 文件

(5)完成后会在记录这一列表框中显示结果,修复后的文件保存名字为unpack3_.exe

(6)打开unpack3_.exe,发现程序能正常运行,则修复成功

文中用到的加壳程序下载地址:http://download.youkuaiyun.com/detail/qiurisuixiang/4363770

iteye_21199
关注
利用单次追踪进行脱壳
ChuMeng1999的博客
11-11 685
目录预备知识壳的概念UpxPEiDOllyDbg实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 基础的汇编语言命令以及对汇编程序的基本审计能力。 壳的概念 加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段。加壳过的程序可以直接运行,但是不能查看源代码。要经过脱壳才可以查看源代码。 加壳是利用特殊的算,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过Windows加载器载入内
软件跟踪调试破解心得
lowxiong的专栏
04-30 2307
已经很久没有做汇编跟踪调试的事了,九十年代曾经成功破解过DOS下用Lock97加密的字幕软件,而最近的一次应该是2003年左右破解一个windows下加密狗的字幕软件未果。至今已近十年没有接触过汇编,我觉得我已经忘了怎么看汇编代码了!   最近单位上新栏目,主持人需要提词器设备。本着节约资金、废物利用原则,我打算将单位原有一个已废弃不用的电视提词器改造成电脑提词器,拆下原CRT电视屏幕,换上一个...
od脱壳软件破解工具
09-22
但愿大家互相进修进修,大家对于破解都不是很了解,人们想学破解,可是去无从入手,所以决议为大家写1个破解初级读物的教程,但愿能大家了解破解有一些帮忙,但愿能有更多的人踏入破解的大门   1.低级,修改步伐,用ultraedit等东西修改exe文件,称暴力破解,略称爆破   中级,追出软体的注册码   高级,开具注册机   2.经常使用破解东西   (1)侦壳东西:PEiD   (2)消息联合的OllyDbg引领破解东西的新潮水   一,此刻咱们起首来进修下破解的开端,爆破~   1.侦壳   要破解1个软体起主要做的就是侦壳,要侦壳就要对壳有绝对似的了解,家喻户晓,软体作者用编程语言编著好软体后,是将它编译成扩展名为EXE的可执行文件编译为EXE的目的有两点:   (1)有一些版权信息需要掩护起来,不克不及让别人随心改动,如作者的姓名、软体名称等;   (2)需要给步伐"瘦身",从而利便存储、使用以及网上传道输送   为了编译,会用到一些软体它们能将可执行文件压缩以及对信息加密(图1),实现上面所说的两个功效,这些个软体称为加壳软体为软体加上的东东就称为"壳"加壳软体差别于一般的WinZIP、WinRAR等打包类压缩软体加壳软体是压缩可执行文件的,压缩后的文件可以直接运行   最多见的加壳软体有3个:ASPACK 、UPX、PEcompact终究它们是主流,据计数,用它们加壳的软体约占市面所有软体的90%!其它不经常使用的加壳软体有ASPROTECT、PETITE 、NEOLITE、TELOCK等软体最多见的编程语言是Delphello,Visual Basic(略称VB),Visual C++(略称VC)了解些编程的常识,会让破解更加轻车熟道   底下来讲侦壳,此刻比力经常使用侦壳软体就PeiD,他具备华美的图形界面外壳整合(新增到鼠标右键)功效令使用更加利便,撑持拖放操作配置时,务请将"扩展到鼠标右键"打上对号   其使用要领是,鼠标点住XX.exe,按鼠标右键,选"使用PEid扫描"便可;"壳"的信息就显示在底部   2.破解东西OD   有关OD的先容我把他放到附件里了,这个是看雪论坛的先容,是比力周全的,至少我感觉比我写的要好,所以大家根据他可以大好的了解OD   3.爆破实例   爆破是破解的开端,所说的爆破,就是指路程经过过程修改可执行文件的源文件,降临达相应的目的你半大白?呵呵,举个例子好了,好比说某同享软体,它比力用户输入的注册码,要是用户输入的,跟它路程经过过程用户名(或其它)算出来的注册码相等的话(也就是说用户输入的注册码不错了),那末它就会跳到注册乐成的处所去,不然就跳到堕落的处所去   大白过来了吧,咱们只要找到这个跳转指令,把它修改成咱们需要的"造型",如许,咱们是否就可认随心所欲了?   一,破解时经常使用的汇编指令如下,汇编较弱者可先强行违住,以后就可逐步理解了   cmp a,b //比力a与b   mov a,b //把b的值送给a,使a=b   ret //归回主步伐   nop //无效用,英文"no operation"的简写,意思是"do nothellong"(呆板码90) (解释:ultraedit打开编辑exe文件时瞅见90,等同于汇编语句nop)   call //挪用子步伐,子步伐以ret末端   je 或jz //若相等则跳(呆板码74 或0F84)   jne或jnz //若不相等则跳(呆板码75或0F85)   jmp //无前提跳(呆板码EB)   jb //若小于则跳   ja //若大于则跳   jg //若大于则跳   jge //若大于等于则跳   jl //若小于则跳   jle //若小于等于则跳   pop xx //xx出栈   push xx //xx压栈   更为具体的指令请查阅汇编册本   4.破解常见修改,参看表1   汇编指令修改 相应的呆板码修改(路程经过过程16进制编辑器实现)   jnz/jne->nop 75->90   jnz/jne -> jmp 75-> EB   jz/je->nop 74->90   jz/je -> jmp 74-> EB   jnz -> jz 75->74 或 0F 85 -> 0F 84   jz -> jnz 74->75 或 0F 84 -> 0F 85   jnz -> jz 75->74 或 0F 85 -> 0F 84   je-> jne 74->75 或 0F 84 -> 0F 85   表1
单步跟踪脱壳加密壳
小龙在线
09-12 942
先用ExeinfoPe查看一下是否加壳以及壳的类型: 加壳了,类型为aspack压缩壳。 一般的Win32程序从_start开始执行,然后到main函数。压缩加壳程序一般是从_start开始,然后到load函数,把代码恢复,然后jmp跳转到真正要执行的代码位置区域,最后到main开始执行。脱壳其实就是上下文恢复的过程,从pushad保存到栈上,popad恢复弹出到寄存器,一般是长跳转(段之间的跳转),从而恢复上下文。 注意用英文原版ollydbg。 常用快捷键: F2下断点 F4运行到此处 F7步入 F8
脱壳原理单步跟踪分析系列
HUA的专栏
11-22 1223
近期打算发布一套脱壳分析教程,单步跟踪压缩壳、解密壳的运行机制,希望大家支持
基于CEEMDAN-VMD-CNN-BiLSTM的多变量输入单步时序预测研究(Matlab代码实现)
最新发布
10-22
内容概要:本文研究基于CEEMDAN-CNN-BiLSTM的多变量输入单步风电功率预测模型,利用互补集合经验模态分解自适应噪声(CEEMDAN)对原始风电功率序列进行分解,降低非平稳性;通过卷积神经网络(CNN)提取局部特征,...
基于CEEMDAN-CNN-BiLSTM的多变量输入单步风电功率预测研究(Matlab代码实现)
10-22
内容概要:本文提出了一种基于CEEMDAN-CNN-BiLSTM的多变量输入单步风电功率预测模型,通过互补集合经验模态分解自适应噪声(CEEMDAN)对原始风电功率序列进行分解,降低非平稳性;利用卷积神经网络(CNN)提取局部...
【风电功率预测】【多变量输入单步预测】基于CNN-BiLSTM-Attention的风电功率预测研究(Matlab代码实现)
10-12
内容概要:本文研究基于CNN-BiLSTM-Attention混合神经网络模型的风电功率预测方,采用多变量输入实现单步预测,利用Matlab代码进行仿真实现。该模型结合卷积神经网络(CNN)提取局部特征、双向长短期记忆网络(Bi...
脱壳单步
优快云_laogao的博客
04-17 621
## 【实验目的】 1) 掌握单步跟踪脱壳 ## 【实验原理】 单步跟踪的步骤 (1)用OD载入,点“不分析代码” (2).单步向下跟踪F8,实现向下的跳。也就是说向上的跳不让其实现(通过F4) (3)遇到程序往回跳的(包括循环),我们在下一句代码处按F4(或者右健单击代码,选择断点—>运行到所选) (4)绿色线条表示跳转没实现,不用理会,红色线条表示跳转已经实现 (5)如果刚载入程序,在附
使用单步跟踪_手工脱壳
weixin_30341745的博客
07-05 345
通常在软件的破解过程中,会遇到代码经过混淆器混淆的程序,此类混淆器可以称之为壳,壳又可分为压缩壳(常见的有UPX、北斗、ASDPack、Npack、PECompact等)和保护壳(如强壳Safengine、VMprotect、winlicense、Themida等),压缩壳作用是把程序进行体积缩小化处理,保护壳主要作用是混淆或加密代码防止他人进行逆向程序、破解程序。我们可以通过一些侦壳程序进行识别...
单步跟踪脱壳
不凡乃大的博客
07-03 749
单步跟踪脱壳
2018/5/16 逆向脱壳的几个方单步跟踪,ESP定律,使用出口标志,SFX方
startr4ck
05-16 1695
来自于西普实验吧在线实验单步跟踪破解Aspack条件:一般是不是很复杂的程序方:通过载入程序,当程序弹出点击事件框的时候就重新od载入,因为当点击事件框出现的时候意味着程序已经进入了oep当中。所以当不断进入call当中去寻找oep所在位置,中间遇到跳转使用f4进行标记汇编命令再运行就可以跳转。找到之后进行运行,删除分析,使用od的脱壳调试进行有两种方分别都采用一次。得到两个文件都进行保存,...
单步跟踪
u010283887的博客
09-30 1561
设置断点之后的程序运行,程序运行到断点时会停留在断点所在行,然后可以单步执 行。要单步调试,使用F6,执行下一行。如果当前行是方调用并且希望进入到方中 查看执行过程,可以使用F5.如果想转向上一级方,也就是跳出当前方,就可以使用 F7(单步返回).如果想直接运行到下一个断点,使用F8(继续),或者绿色的箭头。...
一个很好的内存泄露跟踪的方
zmy12007的专栏
08-07 950
只要把下面的代码定义到公共头文件中,这里定义一个类目的是在main函数执行之前,就执行这个函数 这样在开发环境的输出窗口基本上和MFC检查输出的结果差不多了   #ifdef _DEBUG #define _CRTDBG_MAP_ALLOC #include #include #endif   #ifdef _DEBUG #define meMalloc(s)
32. 脱壳-简单带壳的程序、反调试带壳的程序(堆栈平衡原理找OEP、代码段设置断点)
墨痕诉清风的博客
03-07 927
第一个程序 OEP为46B6F9 PE头位置为46B000到46D000区间,have a nice day! 就是壳 一定要点上箭头指向处,dump改名 清除区段 ,删除壳,保存 第二个程序(市面上60%-80%)根据堆栈平衡原理寻找OEP F8后到下图位置,但并不是OEP 因为地址与PE差别大,壳伪造了我们的text,rd...
《断点单步跟踪是一种低效的调试方》总结
weixin_39918285的博客
05-14 1769
《断点单步跟踪是一种低效的调试方》总结:1、服务器端的程序,单步跟踪,与机器的交互频率运作存在冲突,让软件正常运行会表困难。2、一个软件的整体 McCabe 复杂度一定远超人脑可以一次处理的极限。但通常我们可以对软件进行模块划分,高内聚低耦合的结构能减少软件复杂度。一个高内聚的模块,可以和外部隔离,方便我们聚焦到模块内部来分析。3、程序总是有小片段代码加分支构成,单步跟踪陷入局部分支,缺乏全局观...
linux单步跟踪命令,dbx调试跟踪的常用子命令
weixin_39625162的博客
04-30 617
dbx是UNIX下基于命令行界面的程序调试器。 dbx是通过交互执行dbx子命令来达到调试的目的的。在调试程序前,必须先将-g选项包含在编译信息中,编译生成带调试信息的文件,即:cc -o filename -g file.c。 进入dbx通常只需输入"dbx filename"即可,filename为待调试的可执行程序名。dbx加载后就显示提示符:(dbx),此时用户就可以输入dbx子命令进行调...
逆向脱壳-压缩壳脱壳单步跟踪
12-03 1085
1、压缩壳原理 所有的文件在存储中都是以0和1的形式存在的。 比如说一个文件的字节内容是“111111100000000000000000000000000000000000000000000000001111”,你要完全写出来的话,会很长很长, 但如果你用“1{7}0{49}1{4}”来描述它(当然这只是为方便说明这样写,并不是真的是一种压缩算),也能得到同样的信息,但却只有13个字节,这样就减小了文件体积。 有些算是无损的,也就是说都可以还原成与原文件一模一样;也有些算是有损算,但一般压
OD脱壳八大
老北京砸酱锤的博客
06-22 4399
一、esp定律 进入程序,第行为pushad 单步步过(F8)一下,查看寄存器,当8个寄存器只有esp为红色时,右击红色地址,选择数据窗口中跟随。在左下角的窗口中可以看到,自动跟随到红色地址。 选中若干数据,右击选择断点-硬件访问-(byte,word,dword 任意选择)注:只是访问的字节数不同。 运行(F9)到达断点处,单步步过(F8)几下, 进入到不是不认识的代码地方 ,右键点击分析-从模块中删除分析。 在当前窗口右键选择dollydump脱壳调试进程,分别脱壳两次,不同之处是重建输入表
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值