手脱upx壳过程展示

    这个壳很经典,属于很简单的压缩,加密的软件保护壳。刚好我在吾爱破解的帖子上也看见有这个软件,尝试了一下感觉非常好,能够展现非常多的问题,我把我尝试的过程分享一下。
    还是依旧要啰嗦一下,脱壳软件是非常重要的一步,很多软件都藏有暗桩,格盘,蓝屏,死机都是家常便饭,脱壳可谓是风险极大的一步,刚刚学习不要先脱壳。
    首先,要确定在那儿运行软件,我是在win7系统的虚拟机上运行的,在真机系统上运行一定要做好防止格盘、死机。
    完成环境配置就要查壳,查壳这一步主要是查什么语言编写的,编写的语言才是软件核心,遇到强壳即便查了也查不到什么。
TOP01,top02




    我用了两款查壳软件,一个是比较经典的pe,还有一个功能很逆天有些软件加了壳还能知道是什么语言。
top03



    直接载入OD,我的od是论坛上现成的专门为真机系统配置的,感觉很不错。
top04



    先运行一下程序,看看除了壳以外还有没有其它的软件保护机制。
    我是比较喜欢载入od以后在运行的,这样降低风险,同时也便于调试,直接打开也没有什么看头。
top05



    我先去查了一下脱壳的方法,在脱壳这方面我只知道软件入口叫oep,其它的并不清楚。
    大致上就是这四种方法比较实用,其它的方法有局限,还有一个SFX的查找方法,用了半个小时还没有找对。
第一种"F8"法,这个方法最基础最原始,最有效的方法。
需要注意的就是在返回的跳转处需要重新更正,相对其它的方法就显得笨笨的。

第二种“ESP”寄存器方法,不懂汇编的就基本看不懂,我懂我知道。
这个方法涉及到一个硬件断点,硬件断点是cup工作的断点属于什么级别的断点我不晓得麻烦知道的大神略微指导一哈,这样一来的正确率高,而且还不会被加密打断。

第三种”二次内存断点”这个方法,win7系统上有点问题,我运行的时候出现了内存访问失败的情况……
xp系统和虚拟机可以照常使用。

第四种“堆栈逆向法”我最喜欢的方法,一步就可以到达oep,属于懒人的不二之选。但是,作为不太熟练的新人我还是选择上面的较为妥当。
这个方法饿~~~感觉没有什么需要注意的。要么能用,要么就不能用。

top06



开始寻找oep,我使用的是第二种方法。
单步“F8”,ESP寄存器许可使用esp法。

top07



完成硬件断点,准备去找oep,相当激动感觉玩捉迷藏一样。

top08



循环的指令需要跳过,不是循环的大跳转指令不能跳过,我试了一次跳过就把oep跳了》》》

top09



来到oep,软件的头。
接下来就比较重要了,我使用了其它几个壳和其它几个脱壳的软件,均是一样报错,实际内存和转存内存地址不匹配。
top10,top11


出现这个问题我很是懵b,软件没有问题,操作也没有问题,问题出在那儿了,对第一步环境配置。
只能在xp系统里脱壳。。。
top12



表示非常纳闷,然而并不懂其中奥秘。
我在站点上发现了小生我怕怕的视频,讲的很详细可以去看看。https://www.lanzous.com/i5h3doh

uxp实例.zip

(274.63 KB, 下载次数: 0)

2019-8-8 20:56 上传
点击文件名下载附件

下载积分: 吾爱币 -1 CB

大致的内容就是这些欢迎各位同僚交流学习。对话站点管理:帖子的软件是站点上的,内容可能不前卫,技术可能非常低端,也是我花半个小时做的。麻烦尊重一下新人,删帖之前告我一声,有个时间备份。
问思路的同学,麻烦先去问站长Hmily,他为什么不教pj。(这个问题不接受探讨)

THE END
喜欢就支持以下吧
点赞0
分享
评论 抢沙发
管埋员的头像-小北的自留地

昵称

取消
昵称