本笔记是针对ximo早期发的脱壳基础视频教程。整理的笔记。本笔记用到的工具下载地址:

http://download.csdn.net/detail/obuyiseng/9466056

简单介绍:

FSG壳是一款压缩壳。

我们这里使用9种方式来进行脱壳

工具:ExeinfoPE或PEid、OD、LordPE、ImportREConstructor

脱壳文件:05.手脱PECompact2.X壳.rar

1 单步

    我们发现有两处call会跑飞。那么我们须要在跑飞处进入,然后在跟就可以。

       第一个跑飞的call,我们此时不应该单步而是进入






       第二个跑飞的call,我们此时不应该单步而是进入


    OEP

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

2 ESP定律

   单步到在此处。并在数据窗体中尾随,下断点,单步跟踪就可以。可參考前面的笔记内容。

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

3 使用BP VirtualFree断点

首先下 bp VirtualFree断点
         

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

然后 SHIFT+F9执行,接着按F2取消断点

         





接着ALT+F9运行到用户代码

         





ctrl+f 进行查找 push 8000(特征码)

      
    

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast" alt="">





F2设置断点 , shift+f9执行到这,然后取消断点

    

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast" alt="">




接着单步跟就可以。就会到达OEP
    

4   相同设置BP VirtualFree

首先设置断点


      



然后。两次SHIFT+F9。 
     

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast" alt="">



然后,取消断点。Alt+F9 并运行到用户代码

      

 

然后单步走。就会到达OEP



    

5.

1、载入程序后,会发现首行有个地址

0040A86D >  B8 74DE4500     mov eax,qqspirit.0045DE74

     

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast" alt="">



2、在该地址处下断点    bp 0045de74

      

3、然后shift+f9执行,并取消断点
    

4、我们在该处的retn 下一行 设置断点,然后shift+f9执行,并取消断点
   

045DE74    B8 F9CB45F0     mov eax,F045CBF9

0045DE79    8D88 9E120010   lea ecx,dword ptr ds:[eax+1000129E]

0045DE7F    8941 01         mov dword ptr ds:[ecx+1],eax

0045DE82    8B5424 04       mov edx,dword ptr ss:[esp+4]

0045DE86    8B52 0C         mov edx,dword ptr ds:[edx+C]

0045DE89    C602 E9         mov byte ptr ds:[edx],0E9

0045DE8C    83C2 05         add edx,5

0045DE8F    2BCA            sub ecx,edx

0045DE91    894A FC         mov dword ptr ds:[edx-4],ecx

0045DE94    33C0            xor eax,eax

0045DE96    C3              retn

0045DE97    B8 78563412     mov eax,12345678                      //下断点




5、接着单步跟就可以。就会到达OEP

6

1、设置bp VirtualAlloc 断点。然后shift+f9 执行,并取消断点
     
   
    

2、alt+f9 执行到用户代码    向下拉。看到JMP。

执行到这



     

3、然后接着单步就可以。

7.最后一次异常法。

1、选项---》调试设置---》异常------取消全部异常。

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast" alt="">





2、然后将程序又一次加载


3、按shift+f9 ,发现2次shift+f9 就会让程序跑起来了。
(之所以叫最后一次异常法,我们利用的就是利用最后一次异常,也就是说,
我们有执行shift+f9有M次,就让程序跑起来了。那么我们又一次加载程序后,
仅仅须要按 M-1次shift+f9就可以)
 

4、因为2次跑飞,我们按1次shift+f9,然后在堆栈窗体中  找SE句柄
      


     

        

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast" alt="">



5、然后 我们转到 0045de74处, 并在retn下一行下断 (和第5种类似)
      

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast" alt="">

   
      

     





045DE74    B8 F9CB45F0     mov eax,F045CBF9

0045DE79    8D88 9E120010   lea ecx,dword ptr ds:[eax+1000129E]

0045DE7F    8941 01         mov dword ptr ds:[ecx+1],eax

0045DE82    8B5424 04       mov edx,dword ptr ss:[esp+4]

0045DE86    8B52 0C         mov edx,dword ptr ds:[edx+C]

0045DE89    C602 E9         mov byte ptr ds:[edx],0E9

0045DE8C    83C2 05         add edx,5

0045DE8F    2BCA            sub ecx,edx

0045DE91    894A FC         mov dword ptr ds:[edx-4],ecx

0045DE94    33C0            xor eax,eax

0045DE96    C3              retn

0045DE97    B8 78563412     mov eax,12345678//下断


6、shift+f9执行到该位置,取消断点后 ,接着单步跟就可以







注意:


假设不能用最后一次异常法脱强壳。一用 shift+f9 就直接跑飞,解决例如以下

在OD插件--StrongOD--Options--Skip Some Exceptions选项取消,重新启动OD再试试。

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast" alt="">




使用完毕后,我们要将异常-Skip Some Exceptions选项  恢复

8 两次内存

1、在内存窗体中,找到第一个.rsrc, 然后F2下断点,并执行







2、再次在内存窗体中找到
    

3、然后单步跟就可以,当遇到 retn的时候,要在retn下一行设置断点,然后单步就可以。

9 at GetVersion

1、因为该程序是c++编写,所以能够设置 at GetVersion断点。

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast" alt="">

2、向下 在retn处设置断点。并执行

3、然后取消断点,单步,向上拖就会看到OEP了

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast" alt="">

简单脱壳教程笔记(7)---手脱PECompact2.X壳的更多相关文章

  1. 简单脱壳教程笔记(2)---手脱UPX壳(1)

    本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记. ximo早期发的脱壳基础视频教程 下载地址如下: http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7% ...

  2. 简单脱壳教程笔记(8)---手脱EZIP壳

    本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记.本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9466056 EZIP壳 : ...

  3. 手脱Aspack变形壳1

    1.载入PEID Aspack v2.12 -> www.aspack.com 2.载入OD,不管是看查壳信息还是看入口特征都跟我上一次发的一个手脱Aspack v2.12的帖子相同http:/ ...

  4. 手脱UPX3.91壳(练习)

    0x01 准备 OD UPX加壳程序 可以加壳的软件 0x02 给软件加壳 我找了半天发现winhex不错,而且是没壳的可以直接加壳 1.复制一份可执行文件 将赋值好的文件用UPX3.91加壳 0x0 ...

  5. 手脱ASPack2.12壳(练习)

    俗话说柿子挑软的捏,练习脱壳还得用加密壳脱 0x01 准备 1.OD 2.ASPack加壳软件 0x02 脱壳实战 查一下壳 OD载入 第一个call,F7进去 第二个call也是F7进去 之后往下单 ...

  6. 【个人笔记】ximo早期发的脱壳教程——手脱UPX壳

    [个人笔记]ximo早期发的脱壳教程--手脱UPX壳   壳分为两种:压缩壳和加密壳,UPX是一种很简单的压缩壳.   手脱UPX壳: 工具:ExeinfoPE.OD 对象:rmvbfix 方法1:单 ...

  7. [转] 菜鸟手脱VMP,附上脱壳过程和自己写的脚本,可跨平台

    转载:http://www.52pojie.cn/thread-467703-1-1.html 工作需要要脱一个VMP壳,我是一个从来没接触过脱壳的人.瞬间那种心情遇到的人应该都知道!没办法硬着头皮找 ...

  8. jQuery官方基础教程笔记(转载)

    本文转载于阮一峰的博文,内容基础,结构清晰,是jquery入门不可多得的资料,非常好,赞一个. 阮一峰:jQuery官方基础教程笔记 jQuery是目前使用最广泛的javascript函数库. 据统计 ...

  9. Docker 入坑教程笔记

    Docker 入坑教程笔记 视频网址B站:点这里 查询命令 man docker 简单启动和退出 docker run --name [容器名] -i -t ubuntu /bin/bash 交互启动 ...

随机推荐

  1. [Luogu] P4910 帕秋莉的手环

    题目背景 帕秋莉是蕾米莉亚很早结识的朋友,现在住在红魔馆地下的大图书馆里.不仅擅长许多魔法,还每天都会开发出新的魔法.只是身体比较弱,因为哮喘,会在咏唱符卡时遇到麻烦. 她所用的属性魔法,主要是生命和 ...

  2. 关于C/C++的一些思考(1)

    C++的前世今生: C的结构化思想: Ada的模版思想: Fortran的运算符重载思想: Simula的OO思想:封装,继承,多态: C++类型描述了变量的三个特征: 该类型在内存中占用物理空间的大 ...

  3. codeforces 407 div1 B题(Weird journey)

    codeforces 407 div1 B题(Weird journey) 传送门 题意: 给出一张图,n个点m条路径,一条好的路径定义为只有2条路径经过1次,m-2条路径经过2次,图中存在自环.问满 ...

  4. Java面向对象学习-----类的成员变量2

    请定义一个交通工具(Vehicle)的类,其中有: 属性:速度(speed),体积(size)等等 方法:移动(move()),设置速度(setSpeed(int speed)),加速speedUp( ...

  5. xtu read problem training 4 B - Multiplication Puzzle

    Multiplication Puzzle Time Limit: 1000ms Memory Limit: 65536KB This problem will be judged on PKU. O ...

  6. 管理Cookie和Session

    管理Cookie和Session 前言 这几天中,一直再跟漏洞打交道,而在这些漏洞中,出现的最多的就是 Cookie 和 Session 了.这篇文章就简单的介绍一些 Cookie 中最常用的四个属性 ...

  7. 【Linux】date命令用法详解(日期格式)

    inux下date命令用法 date [OPTION]… [+FORMAT] date [-u|--utc|--universal] [MMDDhhmm[[CC]YY][.ss]] date命令参数 ...

  8. hihoCoder#1114 小Hi小Ho的惊天大作战:扫雷·一

    原题地址 回溯+搜索 枚举每个位置上能否放地雷,当第i个位置枚举完成后,第i-1个位置的情况就确定了,此时,检查第i-1个位置是否满足要求,即左右间隔为1的范围内地雷数是否等于申明数字,如果满足条件, ...

  9. 【NOIP2017练习&BZOJ4998】星球联盟(强联通分量,并查集)

    题意: 在遥远的S星系中一共有N个星球,编号为1…N.其中的一些星球决定组成联盟,以方便相互间的交流. 但是,组成联盟的首要条件就是交通条件.初始时,在这N个星球间有M条太空隧道.每条太空隧道连接两个 ...

  10. 真--可并堆模板--BZOJ2333: [SCOI2011]棘手的操作

    n<=300000个点,开始是独立的,m<=300000个操作: 方法一:单点修改.查询,区间修改.查询?等等等等这里修改是块修改不是连续的啊,那就让他连续呗!具体方法:离线后,每次连接两 ...