yyjpcx 发表于 2006-3-31 17:49:19

通过看动画总结的几个简单的壳的快速脱壳法

本人通过看动画总结的几个简单的壳的快速脱壳法,方便自己查找,放出来大家一起看看.

脱壳:

PEtite 2.2 -> Ian Luck
走几步过PUSHAD后,HR ESP,
F9,SHIFT+F9,断下,
F8走出第一个JMP到PUSH EBP,
入口,DUMP,方式1不行(修复后)就方式2
IMPREC修复,不能修复LV3修复,
CUT无效指针,保存。


tElock 0.98b1 -> tE!
忽略全部异常
二次内存镜像法
1. Rsrc shift+F9
2. Code shift+F9
3. Dump (不让OD建IAT)
4. ImportRec invalid+lv3?cut
5. Fix


CExe 1.0a - 1.0b -> Tinyware Inc.
运行程序,在windows目录下找到 sxe**.tmp文件复制出来就是原程序。


EZIP (dump with LordPE)
F8 走几步,往下找jmp eax.
Lordpe dump.


PEcrypt
忽略全部异常只留下内存异常。
F9,中断后,堆栈提示,CTRL+G 到 SEH 下F2,shift+f9,
往下找JMP EBP,F4后就是OEP了


EXE stealth2
SEH法,到最后一次,CTRL+G,
然后下内存 .code 执行断点


yoda Crypte 1.2
SEH法,到最后一次,CTRL+G,
然后下内存 .code 执行断点


仙剑
SEH法,到最后一次,CTRL+G,
然后下内存 .code 执行断点


ESP定律(对压缩壳最好用)
PC shrinker
NsPack2.x
UPX
Aspack
Dxpack

yunfeng 发表于 2006-4-1 16:50:50

请解释一下什么是SEH法?

lhl8730 发表于 2006-4-26 21:20:16

好文章,适合我学,谢了。

7864576 发表于 2006-4-27 01:41:11

呵呵.ESP定律真的很使用!

eopenfang 发表于 2006-5-25 10:11:46

好思路啊!!

总结的不错,非常好。应该向你多多学习!

agang 发表于 2006-5-28 16:57:28

我也不明白什么是SEH法,最好能有范例语音录像,方便大家学习!

leef 发表于 2006-5-29 00:58:51

有待学习~~~~~~~~~~~

linchm 发表于 2006-6-3 11:18:17

我不知道

小儿垂钓 发表于 2006-6-3 12:46:52

斑竹好象介绍的不全哟:最后一次异常法好象没有介绍呢?呵呵!

hanxiucao 发表于 2006-6-19 20:00:09

办法不错,看来要多找点壳来脱,谢谢分享经验!
页: [1] 2 3
查看完整版本: 通过看动画总结的几个简单的壳的快速脱壳法