最后一次异常法

最新推荐文章于 2024-07-24 17:12:21 发布
最新推荐文章于 2024-07-24 17:12:21 发布
阅读量399 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: c#
原文链接:http://www.cnblogs.com/Archimedes/p/7073494.html
本文介绍了一种名为“最后一次异常法”的脱壳技巧,通过分析目标程序在壳的解密例程执行期间产生的异常,定位到原程序的入口点。文章详细解释了如何使用OllyDbg调试器配置反反调试插件,并通过实际案例演示如何找到并跳过壳的保护措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最后一次异常法

  如果我们在脱壳的过程中发现目标程序产生大量异常的话,就可以使用最后一次异常法,我们来看一个例子,名字叫做”bitarts_evaluations.c”。

我们还是使用Patch过的OD来加载它,并且配置好反反调试插件。

然后将EXCEPTIONS菜单项中的忽略各个异常的选项都勾选上,运行起来。

我们可以看到程序运行起来了,我们单击工具栏中L按钮打开日志窗口。

这里我们可以看到产生了好几处异常,但是都不是位于第一个区段,说明这些异常不是在原程序运行期间发生的,是在壳的解密例程执行期间产生的异常,最后一次是46e88f处的这个异常。

,现在我们重新启动OD,将EXCEPTIONS菜单项中忽略的异常选项的对勾都去掉,仅保留Ignore memory access violations in KERNEL32这个选项的对勾。

我们运行起来,产生异常断了下来,我们直接按SHIFT + F9忽略异常继续运行。直到停在了46E88F处为止。

这里不是,我们按SHIFT + F9忽略异常继续运行,我们知道最后一次异常是46E88F处的INT 3指令引发的。

这里是壳的解密例程执行过程中产生的最后一次异常,接着就是执行原程序的代码了。

接着我们可以对代码段设置内存访问断点,可能有人会问,为什么不在一开始设置内存访问断点呢?原因是很多壳会检测程序在开始时是否自身被设置内存访问断点,如果执行到了最后一次异常处的话,很可能已经绕过了壳的检测时机。

 

 

 

 

 

 

 

 

 

 

 

 

 

  仅允许非商业转载,转载请注明出处

转载于:https://www.cnblogs.com/Archimedes/p/7073494.html

【C++软件调试技术】C++软件开发维护过程中典型软件异常问题的排查与总结
dvlinker的技术专栏
04-15 17万+
本文以问答的方式进行展开,罗列了C++软件日常开发和维护中遇到的多个软件调试问题及有代表性的场景,给出详细的处置思路和处理办,以供大家借鉴和参考。
引发C++软件异常的常见原因分析与总结(实战经验分享)
dvlinker的技术专栏
05-30 6万+
本文根据近几年排查C++软件异常的实践经历与实战经验,详细地总结出引发C++软件异常的常见原因,给大家提供一些借鉴和参考,以帮助大家快速地定位问题。
最后一次异常_操作笔记
02-05 1109
最后一次异常 首先要把 Alt+o 调试设置 把忽略 所有异常的 √都取消掉 因为 要让异常出现 按SHIFT+F9 让异常出现 数几次 直到软件异常 这些异常就是壳的代码 断在最后一次异常   教程显示SE处理程序 有可能是SE句柄 反正是 SE开头的  右键反汇编窗口跟随 断下 se这里  后单步跟踪 注意向上的跳转 - Jmp ebp 如果是-好 没有上 没有下 通常
脱壳时快速定位“最后一次异常”的方
liubingyuan的专栏
11-29 805
 ////////////////////////////////////////////////////////////////////////////////////////////文件名称:脱壳时快速定位“最后一次异常”的方编写作者:Coderui编写时间:2008年05月02日联系方式:coderui@163.com作者博客:http://hi.baidu.com/coderui--
最后一次异常的原理和走出异常的方及IAT的修复问题。
02-05 993
对于最后一次异常,在脱壳中用得挺多,但是对于为什么它能脱壳,以前还是有点疑问的。。。 首先,对于这种方,我想应该从壳的角度出发来说说,壳通过某种方,在程序运行之前,拿到控制权, 怎么样拿到它的控制权呢? 我想:应该是 INT 3 , 当然还有一些其他的方,想一些 调试器的函数, SDK 和 WDK 里面可以去查到的, 最近开始设计一些驱动方面的东西,才知道ring 0 , 是多么的强大,哦,
最后一次异常真难搞
爱杀之爪的矩阵
12-05 1238
<br />        搞了N个od都不行,要么直接跑起来,要么没反应,最终下了个原版的OD2.0版本搞定,不过这个版本啥功能都没<br /> <br />太简陋了,连dump进程都得loadpe来完成,还不支持插件,冏搞了一晚上,勉强把UltraProtect 1.x -> RISCO Software Inc. <br /> <br />给脱掉了,并修复好输入表。这个是asprotect很早的版本了,这个壳对我来说太强大了。相信总有一天能脱掉的!呵呵,od的自动<br /> <br />跟踪功能很强
C++软件调试与异常排查技术从入门到精通学习路线分享
dvlinker的技术专栏
12-17 6万+
详细讲述C++软件调试与异常排查技术从入门到精通学习路线。
排查C++软件异常的常见思路与方(实战经验总结)
热门推荐
dvlinker的技术专栏
10-06 7万+
在多年排查C++软件异常实践的基础上,系统地总结了排查C++软件异常的常见思路与方,有很强的实战参考价值!
第三方模块远程注入到C++软件中引发软件异常的若干实战案例分享
dvlinker的技术专栏
11-22 1万+
本文详细分享第三方模块远程注入到软件中引发软件异常的若干实战案例。
x64dbg 调试 EXCEPTION_ACCESS_VIOLATION C0000005
qq_42402783的博客
05-23 2579
报错发生 exceptions range from 0000000 to FFFFFFFF but can't skip C0000005 (EXCEPTION_ACCESS_VIOLATION) 目前解决方: 取消ScyllaHide所有勾选,再试一次,对我来说来说效果很好 有其它问题持续更新
脱壳&破解技巧
FISH 的专栏
01-03 2826
                                                          暴力破解的一般流程1、有壳者要先脱壳2、试注册看看有何提示,让我们抓抓小尾巴3、若有提示,用OD动态调试器或者是W32静态调试器查找注册提示4、来到错误提示处分析代码找关键CALL、关键跳!5、修改代码6、复制保存!如果没有提示,我们可以使用很多断点来完成这些操作现今软件的保护方
一些非常规壳的脱壳方
行走在黑暗中的狙击者
09-01 303
FSG壳:入口特征如下,需要注意程序先单步F8到movs处再用ESP定律脱壳 到下图位置遇到三个跳转,先删除之前下的断点,再直接在jmp处下断点,单步F8一下直接到oep处 dump后用import REC修复后无打开软件,需要修复下函数,在OD中随便找个CALL(需要跟着函数名的),如下图,再跟importREC对照一下看是不是函数地址能对应起来,然后在OD命令行中输入d xx...
逆向:初识脱壳
yan_star的博客
11-24 1907
逆向:初识脱壳
关于手动脱壳的分析及方总结
最新发布
Yyx260019的博客
07-24 1052
单步跟踪的原理就是通过Ollydbg的单步(F8)、单步进入(F7)和运行到(F4)功能,完整走过程序的自脱壳过程,跳过一些循环恢复代码的片段,并用单步进入确保程序不会略过OEP。这样可以在软件自动脱壳模块运行完毕后,到达OEP,并dump程序。
逆向学习1-[脱壳技术]/篇1
m0_52343643的博客
04-21 3149
壳 壳是包裹在程序外的一层代码,通常先于程序执行,达到防止源程序不被非修改或反编译的目的 壳的分类 壳分为压缩壳和加密壳 压缩壳 压缩壳主要是帮助减少PE文件(Windows下的文件格式)大小,隐藏PE文件内部的代码和资源 常见的压缩壳有:Upx、ASpack、PECompat 加密壳 加密壳应用有多种防止代码逆向分析的技术,用该壳的PE文件会比原文件大很多,有时恶意程序也用加密壳来降低杀毒软件的扫描 常见的加密壳有:ASProtector、Armadillo、EXECryptor、T.
逆向基础:软件手动脱壳技术入门
2401_84206094的博客
05-28 2192
最后一次异常的原理是,程序在自解压或自解密过程中,可能会触发无数次的异常。如果能定位到最后一次程序异常的位置,可能就会很接近自动脱壳完成位置。现在最后一次异常脱壳可以利用Ollydbg的异常计数器插件,先记录异常数目,然后重新载入,自动停在最后一次异常处。
OD脱壳八大
老北京砸酱锤的博客
06-22 4292
一、esp定律 进入程序,第行为pushad 单步步过(F8)一下,查看寄存器,当8个寄存器只有esp为红色时,右击红色地址,选择数据窗口中跟随。在左下角的窗口中可以看到,自动跟随到红色地址。 选中若干数据,右击选择断点-硬件访问-(byte,word,dword 任意选择)注:只是访问的字节数不同。 运行(F9)到达断点处,单步步过(F8)几下, 进入到不是不认识的代码地方 ,右键点击分析-从模块中删除分析。 在当前窗口右键选择dollydump脱壳调试进程,分别脱壳两次,不同之处是重建输入表
脱壳方总结
宗泽的博客
06-09 9573
一、单步跟踪   脱壳的方有很多,先来讲脱壳方中最基础的单步跟踪。单步跟踪就是利用OD的单条指令执行功能,从壳的入口一直执行到OEP,最终通过这个OEP将原程序dump出来。然当,在单步跟踪的时候需要跳过一些不能执行到的指令。   使用单步跟踪追踪OEP的常见步骤:   1、用OD载入待脱壳文件,如果出现压缩提示,选择“不分析代码”;   2、向下单步跟踪,实现向下的跳转;   3、遇...
VC++实现一元四次方程求解方
对于实数解的情况,可以通过代数变换(如降次)和数值方(如牛顿迭代)求解。 在编程语言的选择上,VC++(Visual C++)是一种由微软公司开发的集成开发环境,它是Visual Studio的一部分,支持C++语言的开发。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值