声明: 只为纪录自己的脱壳历程,高手勿喷 第一种:两次内存法 注: ①这是在win7x32系统上运行的脱壳,所以可能地址不同 ②修复的时候用等级三修复,最后修复不了的剪切掉然后转存合一正常运行,已测试 1.载入OEP,一上来就是个达跳转,我也是醉了 004C6BD6 >^\E9 25E4FFFF jmp 第八九课.004C5000 //入口 004C6BDB add byte ptr ds:[eax],al 004C6BDD add +0x61],ah 004C6BE1 8D1E lea ebx…

1.载入PEID Aspack v2.12 -> www.aspack.com 2.载入OD,不管是看查壳信息还是看入口特征都跟我上一次发的一个手脱Aspack v2.12的帖子相同http://www.52pojie.cn/thread-433042-1-1.html,但是真的相同吗?按照上次帖子的经验,pushfd下面就可以使用ESP定律了,但是在shift+F9的时候会跑飞,显然这不是一个普通的Aspack壳,应该是变形过的.这是一个近call,F7跟进,不然会跑飞,然后继续F8单步走 0…

本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记. ximo早期发的脱壳基础视频教程 下载地址如下: http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E8%A7%86%E9%A2%91%E6%95%99%E7%A8%8B/ximo%e8%84%b1%e5%a3%b3%e5%9f%ba%e7%a1%80.7z 本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng…

本笔记是针对ximo早期发的脱壳基础视频教程.整理的笔记.本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9466056 简单介绍: FSG壳是一款压缩壳. 我们这里使用9种方式来进行脱壳 工具:ExeinfoPE或PEid.OD.LordPE.ImportREConstructor 脱壳文件:05.手脱PECompact2.X壳.rar 1 单步     我们发现有两处call会跑飞.那么我们须要在跑飞处进入,然后在跟就可以.  …

前言 目录 01 文法和语言.词法分析复习 02 自顶向下.自底向上的LR分析复习 03 语法制导翻译和中间代码生成复习 04 符号表.运行时存储组织和代码优化复习 05 用C++手撕PL/0 在之前的编译原理实验课是要求对现有的PL/0编译程序代码进行修改以添加一些功能,于是我拿到C++和C语言版本的实现来看.但是C++的要安装C++ Builder,C语言的实现有种上古世纪的味道,实在是没有欲望去改他的代码.思来想去,还是决定自己拿出最多一周的时间自己重新用C++写一个PL/0程序,把实验当…

[个人笔记]ximo早期发的脱壳教程--手脱UPX壳   壳分为两种:压缩壳和加密壳,UPX是一种很简单的压缩壳.   手脱UPX壳: 工具:ExeinfoPE.OD 对象:rmvbfix 方法1:单步跟踪 将要脱的exe扔进od.   这里选择"否",不然有些操作会出现错误.     进入之后从起点开始单步执行(快捷键F8),遇到pxx注意跳跃方向,手动断点跳过往回跳的指令.     遇到这种jxx后跟call指令的一并跳过.     一直单步知道如上图这样的,跳跃跨度极大,让其跳跃…

1.载入PEID PEncrypt 4.0 Gamma / 4.0 Phi -> junkcode [Overlay] 2.载入OD,没什么头绪,忽略所有异常,用最后一次异常法shift+F9运行两次,因为第三次会跑飞,所以运行两次,另外这个壳使用单步太费劲了,一不小心就跑飞了,所以直接使用的最后一次异常法进行脱壳的 > FC cld ; //入口点 FC cld FC cld nop - E9 BDBA0000 jmp PEncrypt.0040CAC6 - E3 D5 jecxz shor…

1.PEID查壳 PE Pack v1.0 2.载入OD,一上来就这架势,先F8走着 > / je ; //入口点 -\E9 C49D0000 jmp Pepack_1.0040D000 0040323C add byte ptr ds:[eax],al 0040323E add byte ptr ds:[eax],al add byte ptr ds:[eax],al add byte ptr ds:[eax],al add byte ptr ds:[eax],al   3.走到这里,一个pu…

一.单步 1.载入PEID查壳 EZIP v1.0 2.载入OD,一上来就是一个大跳转,F8单步一直走 0040D0BE > $ /E9 jmp Notepad.004102DC ; //入口点 0040D0C3 . |E9 7C2A0000 jmp Notepad.0040FB44 0040D0C8 $ |E9 jmp Notepad.0040F4E6 0040D0CD $ |E9 FF230000 jmp Notepad.0040F4D1 0040D0D2 . |E9 1E2E0000 jm…

1.载入PEID ACProtect V2.0 -> risco 2.载入OD > 00A04000 push ACP_Feed.0040A000 ; //入口点 0B104000 push ACP_Feed.0040100B 0040100A C3 retn 0040100B C3 retn 0040100C 858A 1D04802F test dword ptr ds:[edx+2F80041D],ecx - ja short ACP_Feed.00400F96 EE out dx,al…

声明: 只为纪录自己的脱壳历程,高手勿喷 1.在入口的第二行ESP定律下硬件断点然后F9运行8次(因为第9次就跑飞了) 0040955C > pushad 0040955D EB jmp //ESP定律F9运行8次 0040955F 625CE9 F1 bound ebx,qword ptr ds:[ecx+ebp*-0xF] 87EB xchg ebx,ebp EB jmp short UnPackMe.0040956A ^ E0 BB loopdne   2.ESP定律后的落脚点 0040B…

1.查壳 2.x32dbg脱壳 在第二个xchg处使用ESP定律脱壳: 由于FSG壳特性,在跳转后位置向上查找,找到js\jne\jmp,jmp就是OEP位置: 在此处使用工具进行脱壳: 完成! 3.总结 在进行FSG脱壳时,遇见了一些问题,最开始是使用OD进行脱壳的,前面都没有太大问题,在使用ImportREC进行修复IAT表时,会出现修复不全,此问题属于ImportREC问题,并未解决,之后使用x64dbg后使用工具Scylla x86进行IAT修复,成功运行: 来自为知笔记(Wiz)…

1.PEID查壳提示为: ASPack 2.12 -> Alexey Solodovnikov 2.载入OD,程序入口点是一个pushad,在他的下一行就可以进行ESP定律,下硬件访问断点然后shift+F9 > pushad ; //入口位置 E8 call QQ个性网.0043000A; //用ESP定律 - E9 EB045D45 jmp 45A004F7 0043000C push ebp 0043000D C3 retn 0043000E E8 call QQ个性网. EB 5D j…

1.载入PEID ASProtect v1.23 RC1 常见ASprotect版本壳: ASProtect 1.23 RC4 按shift+f9键26次后来到典型异常 ASProtect 1.31 04.27 按shift+f9键36次后来到典型异常 ASProtect 1.31 05.18 按shift+f9键40次后来到典型异常 ASProtect 1.31 06.14 按shift+f9键38次后来到典型异常 2.载入OD,不勾选内存访问异常,其他异常全部勾选,然后使用最后一次异常法,应…

1.使用Detect It Easy进行查壳: 2.使用x32dbg打开该带壳程序,在选项->选项->异常中添加区间设置0~FFFFFFFF全忽略: 3.我们F9运行到程序入口处,看到了pushad,我们使用ESP定律进行脱壳: 4.运行后的位置在lea eax,我们可以看到其下有jne upx(3.91).407ABB,jmp upx(3.91).4012CD,我们当前的EIP地址为00407AB7,此处是个大跳转,极有可能是OEP,在jmp下断点,F9运行至此处,单步步入: 5.在此处就可…

系统 : Windows xp 程序 : TDC‘s keygenme 程序下载地址 :http://pan.baidu.com/s/1gdWyt6z 要求 : 脱壳 & 注册机编写 使用工具 :OD & IDA & PEID & LordPE & Import REC 可在“PEDIY CrackMe 2007”中查找关于此程序的分析,标题为“TDC.Crackme10算法分析”. 首先了解一下壳是什么: 作者编好软件后,编译成exe可执行文件. 1.有一些版权信…

  妈呀,脱FGS壳真的是坎坷颇多,多亏吾爱破解前辈们的帮忙.我一定要记录下来,省的以后再无法解决.   已经查看是FSG壳了.找到入口也容易了.重点就是脱壳并修复好它. 脱壳   OEP为:   使用LordPE修整此文件镜像大小,然后完整转存为dumped.exe.     打开Import REC进行基础修复.如下,标红是依次要进行的操作.   最后转储到文件生成dumped_.exe,打开它,出错.   好,可以确定要使用深度修复了.这是重点,重点,重点.   脱壳之深度修复   在OE…

首先,想说明的是这个壳在我的PC上是可以用上一个帖子中的方法来到假的OEP的:http://www.52pojie.cn/forum.php?mod=viewthread&tid=433462&extra=page%3D1%26filter%3Dauthor%26orderby%3Ddateline,可能跟系统版本有关.如果大家使用这个连接中的帖子无法来到假的OEP那么可以参考下下面的方法,对于比较难的壳,我们首先先掌握方法,脱得多了,自然而然也就会了.当然,对于抽取OEP代码的壳,我们首…

1.载入PEID ACProtect v1.35 -> risco software Inc. & Anticrack Soft 2.载入OD,需要注意的是,异常选项除了[内存访问异常]外其他全部勾选上,然后shift+F9运行至最后一次异常,是1次之后.第二次程序就跑飞了 > pushad ; //入口 7C jl 7D jge 0B jno C2 66C1 retn 0xC166 0043600A D29E FC4566D3 rcr byte ptr ds:[esi-0x2C99B…

1.载入PEID ACProtect v1.35 -> risco software Inc. & Anticrack Soft 2.载入OD,需要注意的是,异常选项除了[内存访问异常]外其他全部勾选上,然后shift+F9运行至最后一次异常,是1次之后.第二次程序就跑飞了 > pushad ; //入口 7C jl 7D jge 0B jno C2 66C1 retn 0xC166 0043600A D29E FC4566D3 rcr byte ptr ds:[esi-0x2C99B…

1.PEID载入 ASPack v2.12 2.载入OD,跟之前帖子的入口特征相同,都是一个pushad,但是请不要怀疑这是同一个壳,绝对不是,pushad下一行ESP定律下硬件断点,然后shift+F9运行一次 0057E001 > pushad ; //程序入口点 0057E002 E8 call memcolla.0057E00A ; //ESP定律 0057E007 - E9 EB045D45 jmp 45B4E4F7 0057E00C push ebp 0057E00D C3 retn…

1.载入PEID FSG v1.33 (Eng) -> dulek/xt 2.载入OD,先F8跟一会 004103E3 > BE A4014000 mov esi,fsg1_33.004001A4 ; //程序入口 004103E8 AD lods dword ptr ds:[esi] 004103E9 xchg eax,ebx 004103EA AD lods dword ptr ds:[esi] 004103EB xchg eax,edi 004103EC AD lods dword pt…

1.载入PEID PEtite v2.1 2.载入OD,先F8跟一下 0042C10F > B8 00C04200 mov eax,跑跑排行.0042C000 ; //程序入口点 0042C114 6A push 0x0 0042C116 E5E84000 push 跑跑排行.0040E8E5 0042C11B :FF35 >push dword ptr fs:[] 0042C122 : >mov dword ptr fs:[],esp   3.一直到这里,看到一个pushad入栈,下一…

1.PEID查壳 Upack 2.x - 3.x Heuristic Mode -> Dwing 2.载入OD,一上来就是一个大跳转,先F8跟一会 >- E9 56D40300 jmp 跑跑排行.0043E48B ; //程序入口点 inc edx ; 跑跑排行.<ModuleEntryPoint> jns short 跑跑排行.0040107C ja short 跑跑排行.004010A3 0040103A 6E outs dx,byte ptr es:[edi] 0040103…

1.PEID查壳 EXE32Pack v1.39 2.载入OD,先F8跟一下 0040A00C > 3BC0 cmp eax,eax ; //程序入口点 0040A00E je short sticker.0040A012 0040A010 553BC074 >add dword ptr ds:[ebx+0x74C03B55]> 0040A01A 3BC9 cmp ecx,ecx 0040A01C je short sticker.0040A01F 0040A01E BC 563BD27…

个人认为这个壳对于新手有那么一点点难度,所以用单步和ESP都跑一下,我觉得单步是最最基础的,所以一定要掌握 一.单步 1.PEID查壳 PECompact v2.xx (16 ms) 2.载入OD,除了以下标注的几个位置外,其他的都使用F8 0040A86D > B8 74DE4500 mov eax,qqspirit.0045DE74 ; //入口点 0040A872 push eax 0040A873 :FF35 >push dword ptr fs:[] 0040A87A : >m…

1.PEID查壳 nSPack 1.3 -> North Star/Liu Xing Ping 2.载入OD,pushad下面的call哪里使用ESP定律,下硬件访问断点,然后shift+F9运行 > 9C pushfd ; //程序入口点 pushad E8 call QQ个性网.0043235D ; //这里使用ESP 0043235D 5D pop ebp 0043235E B8 B3854000 mov eax,QQ个性网.004085B3 2D AC854000 sub eax,QQ…

1.PEID查壳 深度扫描下:nSPack 2.2 -> North Star/Liu Xing Ping 2.载入OD,上来就是一个大跳转,F8单步跟下去 0040101B >- E9 jmp QQ个性网.004323A2 ; //程序入口 B4 mov ah,0x9 BA 0B01CD21 mov edx,0x21CD010B B4 4C mov ah,0x4C CD int 0x21 0040102B jo short QQ个性网.0040108E 0040102D 636B arpl…

方法一: 1.   OD查壳—nSpack3.7的壳 2. 载入OD 看起来很眼熟,F8一次,然后下面就可以使用ESP定律了,使用ESP定律下断点,然后F9四次 3.   F9四次后落到这个位置 接下来就是不停F8了,注意点: ①F8过程中不管是向上跳还是向下跳我们都让他实现,按照正常逻辑,向上的跳转不是应该在下面一行下断跳过去吗?起初我也是这样做的,但是程序会跑飞,具体的原因我也不知道是为什么,所以我就让他跳上去看看 ②接下来F8过程中大家可能会有疑惑,因为貌似陷入了一个死循环中,代码在两个跳…

声明: 只为纪录自己的脱壳历程,高手勿喷 这个壳的脱法很多一般都一步直达的,步过我喜欢ESP定律 1.载入OD,在入口下一行ESP定律运行一次 > pushad ; //入口 BE mov esi,吾爱破解. ; //ESP一次 8DBE 0080FCFF lea edi,dword ptr ds:[esi-0x38000] 0045717C push edi 0045717D 83CD FF or ebp,-0x1 EB jmp nop   2.落脚后单步走就可以到了 8D4424 lea e…