一、概論

殼出于程序作者想對程序資源壓縮、注冊保護的目的，把殼分為壓縮殼和加密殼(強殼)兩種
"UPX"  "ASPCAK"  "TELOCK"  "PELITE"  "NSPACK(北斗)" ...
"ARMADILLO" "ASPROTECT"  "ACPROTECT" "EPE(王)" "SVKP" ...

顧名思義，壓縮殼只是為了減小程序體積對資源進行壓縮，加密殼是程序輸入表等等進行加密保護。
當然加密殼的保護能力要強得多！

二、工具的認識

OllyDBG  ring3 shell層 級別的動態(tài)編譯工具 、
PEid、
ImportREC、
LordPE、
softIce ring0級別調(diào)試工具

三、常見手動脫殼方法

預(yù)備知識

1.PUSHAD （入棧/壓棧） 代表程序的入口點,
2.POPAD   （彈棧/出棧） 代表程序的出口點，與PUSHAD想對應(yīng)，一般找到這個OEP就在附近
3.OEP：程序的入口點，軟件加殼就是隱藏了OEP（或者用了假的OEP/FOEP），只要我們找到程序真正的OEP，就可以立刻脫殼。

方法一：單步跟蹤法

1.用OD載入，點“不分析代碼！”
2.單步向下跟蹤F8，實現(xiàn)向下的跳。也就是說向上的跳不讓其實現(xiàn)！（通過F4）
3.遇到程序往回跳的（包括循環(huán)），我們在下一句代碼處按F4（或者右健單擊代碼，選擇斷點——>運行到所選）
4.綠色線條表示跳轉(zhuǎn)沒實現(xiàn)，不用理會，紅色線條表示跳轉(zhuǎn)已經(jīng)實現(xiàn)！
5.如果剛載入程序，在附近就有一個CALL的，我們就F7跟進去，不然程序很容易跑飛，這樣很快就能到程序的OEP
6.在跟蹤的時候，如果運行到某個CALL程序就運行的，就在這個CALL中F7進入
7.一般有很大的跳轉(zhuǎn)（大跨段），比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN的一般很快就會到程序的OEP。
近CALL F7 遠CALL F8
Btw:在有些殼無法向下跟蹤的時候，我們可以在附近找到?jīng)]有實現(xiàn)的大跳轉(zhuǎn)，右鍵-->“跟隨”,然后F2下斷，Shift+F9運行停在“跟隨”的位置，再取消斷點，繼續(xù)F8單步跟蹤。一般情況下可以輕松到達OEP！

方法二：ESP定律法

ESP定理脫殼（ESP在OD的寄存器中，我們只要在命令行下ESP的硬件訪問斷點，就會一下來到程序的OEP了！）
1.開始就點F8，注意觀察OD右上角的寄存器中ESP有沒突現(xiàn)（變成紅色）。（這只是一般情況下，更確切的說我們選擇的ESP值是關(guān)鍵句之后的第一個ESP值）
2.在命令行下：dd XXXXXXXX(指在當前代碼中的ESP地址，或者是hr XXXXXXXX)，按回車！
3.選中下斷的地址，斷點--->硬件訪--->WORD斷點。
4.按一下F9運行程序，接著刪除硬件訪問斷點 直接來到了跳轉(zhuǎn)處，按下F8，到達程序OEP。

方法三：兩次內(nèi)存鏡像法

1：用OD打開軟件！
2：點擊選項——調(diào)試選項——異常，把里面的忽略全部√上！CTRL+F2重載下程序！
3：按ALT+M,打開內(nèi)存鏡象，找到程序的第一個.rsrc 資源.按F2下斷點，然后按SHIFT+F9運行到斷點，接著再按ALT+M,打開內(nèi)存鏡象，找到程序的第一個.rsrc.上面的.CODE（也就是 00401000處），按F2下斷點！然后按SHIFT+F9（或者是在沒異常情況下按F9），直接到達程序OEP！

方法四：一步到達OEP

1.開始按Ctrl+F,輸入：popad（只適合少數(shù)殼，包括UPX，ASPACK殼），然后按下F2，F(xiàn)9運行到此處
2.來到大跳轉(zhuǎn)處，點下F8，到達OEP！

方法五：最后一次異常法
1：用OD打開軟件
2：點擊選項——調(diào)試選項——異常，把里面的√全部去掉！CTRL+F2重載下程序
3：一開始程序就是一個跳轉(zhuǎn)，在這里我們按SHIFT+F9，直到程序運行，記下從開始按SHIFT+F9到程序運行的次數(shù)m！
4：CTRL+F2重載程序，按SHIFT+F9（這次按的次數(shù)為程序運行的次數(shù)m-1次）
5：在OD的右下角我們看見有一個"SE 句柄"，這時我們按CTRL+G，輸入SE 句柄前的地址！
6：按F2下斷點！然后按SHIFT+F9來到斷點處！
7：去掉斷點，按F8慢慢向下走！
8：到達程序的OEP！

方法六：模擬跟蹤法

1：先試運行，跟蹤一下程序，看有沒有SEH暗樁之類
2：ALT+M打開內(nèi)存鏡像，找到（包含=SFX,imports,relocations）
內(nèi)存鏡像，項目 30
地址=0054B000
大小=00002000 (8192.)
Owner=check    00400000
區(qū)段=.aspack
包含=SFX,imports,relocations
類型=Imag 01001002
訪問=R
初始訪問=RWE
3：地址為0054B000，如是我們在命令行輸入tc eip<0054B000,回車，正在跟蹤ing。。

Btw:大家在使用這個方法的時候，要理解他是要在怎么樣的情況下才可以使用

軟件破解常用匯編指令  

    cmp    a,b      //  比較a與b
    mov    a,b     //  把b值送給a值，使a=b
    ret           //  返回主程序
    nop  //無作用，英文（no operation）簡寫,意思“do nothing”（機器碼90）
  （ultraedit打開編輯exe文件看到90相當匯編語句的nop）

   call              //  調(diào)用子程序，子程序以ret結(jié)尾
   je或jz            //  相等則跳（機器碼是74或84）
   jne或jnz              //   不相等則跳（機器碼是75或85）
   jmp               //  無條件跳（機器碼是EB）
   jb             //  若小于則跳
   ja             //  若大于則跳
   jg             //  若大于則跳
   jge            //  若大于等于則跳
   jl             //  若小于則跳
   pop xxx        //  xxx出棧
   push xxx       //  xxx壓棧

jmp ;無條件跳轉(zhuǎn) 指哪飛哪 一些雜志中說的直飛光明頂，指的就是它了~光明頂一般指爆破地址根據(jù)條件跳轉(zhuǎn)的指令:

JE　　 ;等于則跳轉(zhuǎn)　
JNE　 ;不等于則跳轉(zhuǎn)　
JZ　　;為　0　則跳轉(zhuǎn)
JNZ　 ;不為　0　則跳轉(zhuǎn)　
JS　　;為負則跳轉(zhuǎn)　
JNS　 ;不為負則跳轉(zhuǎn)　
JC　  ;進位則跳轉(zhuǎn)　
JNC　 ;不進位則跳轉(zhuǎn)
JO　　;溢出則跳轉(zhuǎn)
JNO　 ;不溢出則跳轉(zhuǎn)　
JA　　 ;無符號大于則跳轉(zhuǎn)　
JNA　 ;無符號不大于則跳轉(zhuǎn)　
JAE　  ;無符號大于等于則跳轉(zhuǎn)　
JNAE　;無符號不大于等于則跳轉(zhuǎn)　
JG　　 ;有符號大于則跳轉(zhuǎn)　
JNG　 ;有符號不大于則跳轉(zhuǎn)　
JGE　  ;有符號大于等于則跳轉(zhuǎn)
JNGE　;有符號不大于等于則跳轉(zhuǎn)　
JB　　 ;無符號小于則跳轉(zhuǎn)　
JNB　 ;無符號不小于則跳轉(zhuǎn)　
JBE　  ;無符號小于等于則跳轉(zhuǎn)　
JNBE　;無符號不小于等于則跳轉(zhuǎn)　
JL　　 ;有符號小于則跳轉(zhuǎn)　
JNL　 ;有符號不小于則跳轉(zhuǎn)　
JLE　  ;有符號小于等于則跳轉(zhuǎn)
JNLE　;有符號不小于等于則跳轉(zhuǎn)
JP　　;奇偶位置位則跳轉(zhuǎn)　
JNP　 ;奇偶位清除則跳轉(zhuǎn)　
JPE　 ;奇偶位相等則跳轉(zhuǎn)　
JPO　;奇偶位不等則跳轉(zhuǎn)
我們實際用到的最常用的只有 jmp、 je、 jne、 jz 、jnz 而已 所以只要清楚這5個跳轉(zhuǎn)的條件即可，別的那些了解下就好了 

下面開始說傳遞跟比較指令：

傳遞指令：
mov
比較指令：
Cmp
例：
mov eax,1
mov ecx，eax
cmp ecx，eax   //這個就是標志位
我們已知eax跟ecx都是1

那就符合je的跳轉(zhuǎn)條件

以上就是常見幾種軟件脫殼方法的詳細內(nèi)容，更多關(guān)于軟件脫殼的資料請關(guān)注腳本之家其它相關(guān)文章！

最新評論