上也有很多手动脱壳的教程,但是光看不写总觉的像自己没学过似的。
操作环境:
操作系统:Windows 7 Ultimate
OD版本:Olldbg 1.10
被脱壳软件:文章最后提供下载
下边利用ESP原理脱壳。
首先使用OD载入图标王程序,出现提示确定即可。开头的代码如下:
单步执行完00405A9E处的PUSH EAX后,观察ESP寄存器为:
下一步就在ESP指向的位置设置硬件访问断点,在命令框中输入:
按下F9,使程序直接运行,在我运行时出现违规异常,按下Shift+F9忽略异常。
程序运行到这里中断:
那么在这之后一直单步执行直到:
当执行完0x0042C89B中JMP EAX指令后,程序就会跳到程序入口点执行:
这时,使用OllyDump插件进行脱壳即可。
注意的是,并不是程序刚刚运行到程序入口点才能够使用OllyDump脱壳,如果一不小心运行过了之后,在脱壳设置时,手动将入口点地址处的数值修改为入口点地址-起始地址即可,如本程序中入口点地址应该是405A99 – 400000 = 5A99
好了,到这里就脱壳完毕了。
软件下载:实验程序—-图标王
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!