新手用OD脱壳
修改版的od中有跳转提示的,有一个箭头,另外红色表示要跳转,灰色表示不会跳转,另外一可以看跳转后面的地址,在eip前面的就是回跳,后面的就是向下跳,根据相应的标志位可以判断 会不会跳
脱壳脚本格式有TXT格式的,有OSC格式的,都是要在OD中加载的,通常在OD中先加载要脱壳的EXE文件,然后选择针对该EXE的脱壳脚本,然后运行OD,就可以了。但是脚本不是万能的,一个加壳文件通常有好几种脱壳脚本如Asprotect、Execryptor、Themida等。
你好 脱壳时我们如何辨认快到OEP了呢.(快到OEP时,都有哪些共同现象).若出现下面情况时,说明OEP就要到了:1.跟踪时如果发现:popadpopfd或popad2.同时,紧接着,有retn ,jmp等其它跳转指令,发生跨段跳跃时.这说明也许我们马上要到OEP,但不能一概而论。
3.个人觉得是否达到OEP最直接的方法就是记牢《常见各种语言编写的程序的入口点代码》,来来去去不外乎就集中语言编写而成。 附代码入口点查看地址http://hi.baidu.com/zeroport/blog/item/7dfaedd26b1ad5093af3cf07.html
第三就是分析判断是否是OEP 一些新版本编译系统编译出的OEP会跟以前不一样,所以必须把OEP玩熟。1、API的调用2、代码结构
OD手动脱壳的一般步骤是那些?
1.首先用查壳软件,查软件是什么壳。查明后,把要脱壳的软件放入OD中,以压缩壳为例,F8单步走,只能让程序往前跳,不能让程序往后跳,用F2或F4下断点就可以。当达到OEP后,就可以用PE工具脱壳了。建议看看三人行以前做的脱壳初中高教程。以前爱国者安全网。
用OD手动脱壳以后,怎么还原EP区段
用OD脱完,可以用ImportREC V1.6F或LordPE_fix修复EP.或者可以用OD手动修改会EP,但是这需要你很明白各种编程软件的EP段
新手用OD脱壳
你好 脱壳时我们如何辨认快到OEP了呢.(快到OEP时,都有哪些共同现象).若出现下面情况时,说明OEP就要到了:1.跟踪时如果发现:popadpopfd或popad 2.同时,紧接着,有retn ,jmp等其它跳转指令,发生跨段跳跃时.这说明也许我们马上要到OEP,但不能一概而论。3.个人觉得是否达到OEP最直接的方法就是记牢《...
手脱nSpack V2.x -> LiuXingPing*壳
回答:献给象我一样的菜鸟,学脱壳不长时间但是小有点心得,愿意与大家分享,最看到了有人被 nSpack V2.x -> LiuXingPing* 这个壳弄的很惨,所以写了这个东西出来 与大家分享, 也算是对我成长的一个见证吧,,高手可以不用看了,没什么含量的 东东。 这里首先要说下ESP 定律了,,先感谢一下FLY 前辈门...
用od手工脱壳,出现这样是什么意义?
EP : Entry Point 程序入口点,加壳后,入口点是壳段代码,要脱壳的时候要找OEP,真正的程序入口点。你的是delphi 程序,根据特征,直接秒OEP吧~
请教microsoft visual c++ 6.0如何脱壳
用PEID查壳为Microsoft Visual C++ 6.0 一般情况下(95%)是没有壳的,但有一些“穿山甲”壳的入口跟其相似。如果你觉得有壳,那么就看一下区段,显然这是要经验的。脱壳工具一般用OD(OllyDbg)手脱,这也是破解软件的工具。当然也有一些人写好的软件来脱壳,但这只是针对,没有普遍性。有时候手...
OD找到了程序入口点,怎么脱壳啊?
常见脱壳知识:1.PUSHAD (压栈) 代表程序的入口点 2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近拉!3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP),只要我们找到程序真正的OEP,就可以立刻脱壳。开始正式介绍方法啦!!方法一:1.用OD载入,不...
用OD将UPX壳脱掉后PEID检测还是UPX,怎么回事
peid是用来查壳的哦,右下角按钮点下显示的是插件列表,其中有一些脱壳的插件,不过只是一些简单的压缩壳而已,比如upx等。如果不会用OD手动脱壳的话,那就找脱壳机吧。举个用PEID脱UPX壳的例子:先载入你的程序,然后点右下角的箭头按钮,然后选择unpacker for UPX,peid就会自动帮你脱了。用PEID脱壳...
脱壳有什么用
一般脱壳都用的是OD 全称:Ollydbg 加壳很形象的说法就是加一个保护壳 来保护你的程序 很多病毒就通过加壳来免杀
用OD脱壳有几种方法?
单步跟踪法、内存镜像法、内存镜像法、ESP定律法、最后一次异常法、一步到位OEP法、SFX法、脚本运行法。