1.使用Detect It Easy进行查壳: 2.使用x32dbg打开该带壳程序,在选项->选项->异常中添加区间设置0~FFFFFFFF全忽略: 3.我们F9运行到程序入口处,看到了pushad,我们使用ESP定律进行脱壳: 4.运行后的位置在lea eax,我们可以看到其下有jne upx(3.91).407ABB,jmp upx(3.91).4012CD,我们当前的EIP地址为00407AB7,此处是个大跳转,极有可能是OEP,在jmp下断点,F9运行至此处,单步步入: 5.在此处就可…

本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记. ximo早期发的脱壳基础视频教程 下载地址如下: http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E8%A7%86%E9%A2%91%E6%95%99%E7%A8%8B/ximo%e8%84%b1%e5%a3%b3%e5%9f%ba%e7%a1%80.7z 本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng…

[个人笔记]ximo早期发的脱壳教程--手脱UPX壳   壳分为两种:压缩壳和加密壳,UPX是一种很简单的压缩壳.   手脱UPX壳: 工具:ExeinfoPE.OD 对象:rmvbfix 方法1:单步跟踪 将要脱的exe扔进od.   这里选择"否",不然有些操作会出现错误.     进入之后从起点开始单步执行(快捷键F8),遇到pxx注意跳跃方向,手动断点跳过往回跳的指令.     遇到这种jxx后跟call指令的一并跳过.     一直单步知道如上图这样的,跳跃跨度极大,让其跳跃…

声明: 只为纪录自己的脱壳历程,高手勿喷 这个壳的脱法很多一般都一步直达的,步过我喜欢ESP定律 1.载入OD,在入口下一行ESP定律运行一次 > pushad ; //入口 BE mov esi,吾爱破解. ; //ESP一次 8DBE 0080FCFF lea edi,dword ptr ds:[esi-0x38000] 0045717C push edi 0045717D 83CD FF or ebp,-0x1 EB jmp nop   2.落脚后单步走就可以到了 8D4424 lea e…

0X00    了解 upx UPX作为一款元老级PE加密壳,在以前的那个年代盛行,著名病毒[熊猫烧香]就是使用这款加密壳. 0X01    单步跟踪法 就是使用ollydbg加载程序后,按F8进行单步步过.如果遇到程序向上跳转(红色箭头表示跳转实现),则在程序命令的下一行按F4,将程序运行到所选位置.要保证程序一直向下跳转,否则运行一个向上跳转,就会跳到壳的循环当中,就出不来了.运行到一定代码后,如果看到一个比较大的跳转,可能是jmp,也可能是ret.跳转之后的代码是popad,一般就是到了程…

一开始看到pushad F8执行直到只有esp,eip,变化 在esp处follow in dump 下硬件访问断点 F9运行在硬件断点停下 到达一个长跳转(跳到OEP) 完成 ------------------------------------------------------ 原理回头补充 仅允许非商业转载,转载请注明出处…

示例程序演示 样例程序选择win7自带的notepad.exe,该程序原本是没有加壳的: 拷贝notepad.exe文件一个副本,重命名为notepad - upx.exe,我们对notepad - upx.exe进行加upx壳: 压缩之后查壳: 脱upx壳 od调试小技巧: F8 步过/向下的循环直接跳过 F7 步入 F4 遇到向上的循环,光标选中循环体的下一句汇编指令(非调用指令,即call指令),然后按f4,可直接跳到此处:若下一句汇编指令是call指令,则选call后边的非call指令,…

1.载入PEID Aspack v2.12 -> www.aspack.com 2.载入OD,不管是看查壳信息还是看入口特征都跟我上一次发的一个手脱Aspack v2.12的帖子相同http://www.52pojie.cn/thread-433042-1-1.html,但是真的相同吗?按照上次帖子的经验,pushfd下面就可以使用ESP定律了,但是在shift+F9的时候会跑飞,显然这不是一个普通的Aspack壳,应该是变形过的.这是一个近call,F7跟进,不然会跑飞,然后继续F8单步走 0…

本笔记是针对ximo早期发的脱壳基础视频教程.整理的笔记.本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9466056 简单介绍: FSG壳是一款压缩壳. 我们这里使用9种方式来进行脱壳 工具:ExeinfoPE或PEid.OD.LordPE.ImportREConstructor 脱壳文件:05.手脱PECompact2.X壳.rar 1 单步     我们发现有两处call会跑飞.那么我们须要在跑飞处进入,然后在跟就可以.  …

0x01 准备 OD UPX加壳程序 可以加壳的软件 0x02 给软件加壳 我找了半天发现winhex不错,而且是没壳的可以直接加壳 1.复制一份可执行文件 将赋值好的文件用UPX3.91加壳 0x02 脱壳 查一下壳 OD载入,查看入口点 单步调试,到如图的这一步,不能向下跟,因为下面call的函数是ExitProcess(一般程序到快结束的时候会调用这个API)说明程序要跑飞了 之后研究一下这个跳转这个是个类似循环,在A1和BE之间跳转,在跳转里面还有两个跳转,一个是在A6,一个是在B7,j…