频道栏目
首页 > 安全 > 加密解密 > 正文

手动脱壳简简单单

2009-01-12 00:20:56           
收藏   我要投稿

文章备注:该文章已发表与《黑客x档案》0901期,网络首发作者Blog:www.hackerm.com.cn
文章作者:monster
QQ:389264167

在我们进行逆向分析的时候,通常会遇到有些文件被加密处理过,也就是我们通常所说的被加了壳,这时他的内部结构都已经改变,我们想要继续分析是很麻烦的,所以我们需要把它从壳中分离出来,也就是我们常说的脱壳。现在越来越多的软件都使用了加壳的保护方法,所以脱壳是我们在逆向分析过程中很主要的步骤,掌握它至关重要

 壳是最早出现的一种专业加密软件。不同的壳的侧重点也不同,有的侧重于压缩,有的侧重于加密,所以出现了压缩壳和加密壳。压缩壳的特点是减小软件的体积,我们常见的有:UPXASPackPECompack等。加密壳的则侧重于加密,保护强度较大,常见的有:ASProtectArmadilloThemida等。

第一步  寻找OEP

OEPOriginal Entry Point):程序的原入口点,就是壳程序在完成了对原程序的还原后,开始跳转到刚还原的程序执行,此时的地址就是入口点的值。

1  单步跟踪

首先,我们运行peid, 将我们要检测的程序拖到上面,可以看到它是用aspack加的壳,如图1\

 

我们运行OD,点击菜单栏中的“文件”→“打开”,把我们需要脱壳的文件加载进来,接着就会弹出一个对话框“模块……你仍要继续分析吗”, 如图2\

我们选择“否”(不管什么方法脱壳都要按“否”),程序就会停

相关TAG标签 脱壳 手动
上一篇:反远程线程注入的思路
下一篇:另辟蹊径,VMProtect分析
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站