查壳过后接着就是将有壳软件载入OD
脱壳方法有很多,这里就不一一演示了
1.找真正的OEP
007B02D2 > 9C pushfd
007B02D3 60 pushad
开头的两个语句令我为之一亮,可以用搜索命令串的方法快速到达程序的OEP
快捷键Ctrl+s,在命令框中输入popad回车popfd之后确定
这里发现有两处,可以分别下断,经过尝试应在图示位置下断
重载程序,运行程序被断在下断处,单步F8来到jmp继续F8
出现上图这种情况,右键分析,从模块中删除分析,便来到了真正的OEP
2.脱壳
可以用LordPE,这里选用的是自带的插件,右键,用OllyDump脱壳调试进程,点击脱壳,保存即可(点击脱壳前将修正为后面一栏的内容复制下来后面会用到)
3.修复(不要关闭OD,最小化即可)
打开ImportREC,选中当前的脱壳进程,在OEP处粘贴修正为后面一栏的内容复制下来的内容,点击自动查找IAT,出现下图提示点确定
然后点击获取输入表,没有无效
,
修复转存文件选择刚才脱壳后保存的文件,保存即可,至此所有步骤完成
再用PEID查一下修复之后的程序可以成功脱掉
教程结束,下次将对已脱壳程序进行爆破,软件将在最后给出,新手教程大牛勿喷
欢迎大家来加我自己的编程语言交流QQ群群号:387618421
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
