本人脱压缩壳的一点经验
学了一段时间的脱壳,有点心得,现在拿出来与大家分享。高手飘过吧下面有些是加密壳,大部分是压缩壳。
对于 UPX ASPACK FSG PECOMPACT PETITLE YODA'S CRYTO 都可以用ESP定律就不说了。
PECOMPACT方法:1.X版的直接ESP定律 F8几下就到OEP了
2.X的用2次ESP定律,第2次下0012FFAC后, F8几下就到了 JMP EAX跳过去就是了
2.X的也可以BP VirtualFreee 查找PUSH 8000 ,F8几下就是了
PEcrypt方法:最后一次异常法,几次shift+F9 然后F8就到了,重建PE就OK了
FSG的方法:1.33的F8 ESP定律,后往下找个JE的大跳,跳过去就是了
1.33的变种壳的话,同样的方法。然后除去里面的INT 13就可以了
2.0的话, F8两次,在堆栈窗口中找到OEP下硬件执行断点F9,然后手动修复IAT即可
teLOCK0.98的方法:内存镜像法,异常法(找到返回地址,shift+F9 ,F8几次就到了)。重在修复。等级3手动修复IAT,CUT无效指针。 PEcrypt /:001 算是加密壳吧 telock 0.98b1也算是吧 :loveliness: 学习以下楼主的方法支持下啊 学习中。收藏了。 很好,很全面,学习拉 学习了,收藏先。 /:good /:good /:good 比较简单啊!! 复制->粘贴->收藏+外加验证
谢谢楼主分享~~
页:
[1]
2