潜心学习

Ring3调试器的附加使用的是DebugActiveProcess函数，在附加相关进程时，会首先执行到ntdll.dll下的ZwContinue函数，最后停留在ntdll.dll的DbgBreakPoint处(摘自加密与解密第三版)这时候按ShiftF9就能把程序运行起来了，深一层的道理还得学习下调试器的原理吧

《加密与解密》书中的壳，不过为了加深印象还是手写一下抄代码的时候突然想起了以前见过的一个VS插件，代码高亮，自动完成等功能都相当完美，写起代码来也爽很多。。壳的流程(写到再更新)：1 把文件各区块按照内存对齐的方式加载到内存3 转储输入表源码：void LoadFile(char *szFileName){ HANDLE hFile; IMAGE_DOS_

其实逆向主要还是得自己理解，贴一段代码加几条注释的话我还不如直接把idb或者udd文件直接发上来吧，附件里面有 加壳软件exPressorV1.0加壳后的win98记事本(去掉垃圾指令和没去的都有)IDB文件(IDA版本为6.1， 32位)UDD文件猛击此处下载附件

目标程序：用Yoda1.2加壳的asm程序目的：    全过程分析该程序解压的过程时间：    最近时间比较紧，每天分析100行左右吧已分析： 解压壳代码+检测SoftIce+获取壳所需函数------------------------------------------------------------------------------------7月22日--------

菜鸟笔记昨天晚上又拿起CrackMe 2007的一个CrackMe来玩(aalloverred做的znycuk's cracKme#3)，发现那个PE根本无法用OD加载，一加载就说这个PE的格式错误了破文上解释说是因为LoaderFlags和RvaAndSizes(数据目录项)被修改成了一个很大的数值。其实LoaderFlags并不影响OD的调试，只是RvaAndSizes影响而已。以

以前觉得加技术的QQ群作用只有一个：闲聊，浪费时间现在想找5,6个长期有时间学习逆向的朋友，在一个小群里面，有问题互相讨论(只讨论技术上的问题)为了保持群的活跃，有要求如下群成员要求1 懂C语言 汇编,基础windows知识2 懂得最基本的脱壳 破解知识3 乐于助人4 群成员之间互相认识，了解各自水平有兴趣 加我的QQ 315,1028,21(逗号是为了避免

以前觉得加技术的QQ群作用只有一个：闲聊，浪费时间现在想找5,6个长期有时间学习逆向的朋友，在一个小群里面，有问题互相讨论(只讨论技术上的问题)为了保持群的活跃，有要求如下群成员要求1 懂C语言 汇编,基础windows知识2 懂得最基本的脱壳 破解知识3 乐于助人4 群成员之间互相认识，了解各自水平有兴趣 加我的QQ 315,1028,21(逗号是为了避免

今天早上踩完单车，吃完早晨，又开始思考我的脱壳技术为什么一直停留在菜鸟水平偶尔看到了一个分析UPX全过程的帖子，又看到了回帖内容中的只言片语，马上顿悟，变成脱壳大牛的方法就是去分析壳的每一条代码，即使代码有上几千行也要去看，十天逆不完，逆1个月，总有一天会逆完，当逆完的时候你才真正会脱这个壳了。其实即使加密壳也是要一行一行的分析，只不过有时候因为经验积累可以有更快捷的手段。

以前分析过一个壳的源码就是用异常到达OEP的(而不是单纯jmp到oep)今天脱的这个PEtite 2.2用普通的方法(内存断点，ESP定律等)似乎都无法跟到OEP这种情况下可以尝试异常法，就是说这个壳在某个位置触发一个异常，让你的程序跟不下去，解决方法也很简单就是到那个异常里面下一个断点然后跟着异常处理程序走一段就发现跳转到OEP的位置了OD选项中不忽略任何异常Shif

找OEP的部分简略一点吧，主要是想写下这个IAT的修复，其实也没什么技术含量，因为技术菜，跟不出如何不让壳加密IAT，权衡之下只好用这个连自己也鄙视的笨办法了Too eagerly want to unpack a powerful packer, however old oneOEP到达方法：一 用API监视工具查找CreateProcess的调用地址(当然也可以下硬件断点)，然

脱壳方面的书籍好像不多,就看雪的《加密与解密》和《软件加密技术内幕》而视频教程里面的都没有说原理，在我的笔记里会总结一些原理性的东西壳原理壳的大概加载过程：1 保存入口参数2 获取壳用的API3 解密原程序区块数据4 IAT初始化5 重定位处理(for dll)6 跳到OEP对壳的加载过程还是不太理解，应该自己写一个壳试试找OEP原理

国内的破文如果质量也有这么好就太棒了翻译一篇基础破文(不是逐字翻)1 用OD打开加了EP1.4壳的程序，把插件IsDebug&ExtraHide里的两个选项都选上2 F9运行之后会发现在OD里面的程序中断了，而原来的软件却运行了起来，这是因为壳用了CreateProcess创建了一个新的进程，就是说软件和壳是不连在一起的，但是在有些时候却是跟壳连在一起运行的，所以在Create

课1略课2什么是脱壳经常说脱壳，也用很多方法脱过壳，现在有点更深的认识了一个程序被加壳的话他一定被做了以下的事情：1 被加密了各个节2 输入表肯定被清除或者保存到另外一个地方去了(还可能不是以原来输入表结构的形式，可能自己发明一个结构来存储输入表)3 跳到OEP加壳的程序执行时会做以下的事情：1 还原各个节的代码2 把IAT的地址还原(程序运行的

目标程序是VB写的，记得以前有一个巧方法到达OEP，但是忘记了，还是按部就班吧单步跟踪到这个地方：如果想要在xor ecx,ecx处F4的话程序会跑飞00404BE7 AC lods byte ptr [esi]00404BE8 84C0 test al, al00404BEA ^ 75 FB

在UPK论坛下了一个密界精华，其实没看到有特别牛的东西，但是适合我等菜鸟，决定先把里面的脱壳示例中的程序脱一次，积累经验。在我的脱文里，我会尽量将每一步的缘由说清楚，但如果你是基本反汇编，PE格式都不知道的就。。了到OEP的方法：因为是压缩壳，跳转到OEP的方法多半是用jmp等跳转指令，所以单步跟踪即可过程：一直单步直到这个地方，你会发现如果想在004001DC上F4，程序

假设你已经有以下基础1 会C, ASM等两种编程语言以上2 懂得windows消息机制和常用API3 PE格式4 逆向过自己写的小程序，做过简单的CM学习流程1 看黑鹰破解教程的脱壳部分，把每一个壳都脱下，多用下最后一次异常和内存断点法，还有单步法。顺便提一下天草的教程也可以看吧，不过跟黑鹰的都差不多，其实没必要看了2 到了黑鹰破解教程的后面，会讲一些强壳的脱法(在

当把壳加在软件上(或者病毒感染PE文件/补丁加在软件上)时，在壳代码上定义的变量和常量的地址都会无法访问，因为编译器给壳中变量A生成的地址是A，但是把壳段加在软件上时变量A的地址就不在是A了，为了继续能够寻址到壳的变量，需要对代码重新定位下面是一个壳中用到的重定位代码：DepackerCode: pushad call CallMe CallMe: pop ebp

有如下有趣的代码0040D000 90 nop0040D001 s> E8 0A000000 call sss.0040D0100040D006 90 nop0040D007 EB 0C jmp short sss.