问题
- 脱壳的流程li>
查壳软件
- FileInfo
- Peid
脱壳
脱壳的基本原则就是单步跟踪,只能往前,不能往后。
脱壳的一般流程:
- 查壳
- 寻找OEP
- Dump
- 修复
脱壳软件
- aspack壳 脱壳可用unaspack或casper unaspack
- caspr
- upx壳 脱壳用upx
- PECompact壳 脱壳用unpecompact
- procdump 万能脱壳但不精,一般不要用
手工脱壳一般要有的步骤:
- 查找程序的真正入口点(OEP)
- 抓取内存映像文件
- 输入表重建
OEP:
OEP(Original Entry Point),程序加壳前的真正的入口点
寻找OEP的几种方法:
- 单步跟踪
- ESP定律法
利用编程过程中要遵循的堆栈平衡原理,在壳的两端同样适用,所以在壳的初始位置关键句后的eip也同样会是壳的出口位置的eip值。所以,在该处设置硬件断点,然后忽略所有异常直接运行到该eip处,往往单步即可到达程序的OEP处。 - 内存镜像法
- 一步到达OEP法
- 最后一次异常法
- 模拟跟踪法
- “SFX”法
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!