飞扬黑客网

大家好我是紫月  QQ 296041605
　　今天给大家讲解下 脱壳
　　一.学脱壳的必要性
　　1.免杀制作
　　2.程序个性化修改汉化
　　3.收费共享软件的破解
　　二。脱壳工具介绍
　　1.查壳工具：  PEID ,PE-SCAN 等
　　2.脱壳跟踪工具： ollydbg
　　3.脱壳工具： OD自带脱壳插件，LordPE.
　　4.修复工具：Import REConstructor 1.6
　　方法一：单步跟踪法
　　------------------
　　介绍：这是最通用的方法，对于未知壳，基本都用这种方法，这种方法过程比较麻烦，要一步一步的跟踪分析，要有一定的耐心。
　　1.用OD载入，选"不分析代码"
　　2.单步向下跟踪按F8，实现向下的跳。不让程序往回跳。
　　3.遇到程序往回跳的（包括循环），我们在下一句代码处按F4（或者右健单击代码，选择断点——>运行到所选）
　　4.如果刚载入程序，在附近就有一个CALL的，我们就F7跟进去，不然程序很容易运行。
　　5.在跟踪的时候，如果运行到某个CALL程序就运行的，就在这个CALL中F7进入。
　　6.一般遇到很大的跳转（跨段跳），比如 jmp XXXXXX 或 JE XXXXXX 或有RETN的一般很快就会到程序的OEP。
　　-----------------
　　方法二：ESP定律法
　　-----------------
　　介绍： 这种方法可以脱大部的压缩壳和少数加密壳，操作起来比较简单，脱壳速度也相对比较快。
　　1.开始就点F8向下走，注意观察OD右上角的寄存器中ESP有没突现（变成红色）
　　2.选中下断的地址，断点--->硬件访问--->WORD断点。
　　3.按一下F9运行程序，直接来到了跳转处，按下F8向下走，就到达程序OEP。
　　-----------------
　　方法三：内存镜像法
　　-----------------
　　介绍：也是一种比较好用的脱壳方法，大部分的压缩壳和加密壳用内存镜像法能快速脱掉。非常实用。
　　1.用OD打开，设置选项——调试选项——异常，忽略所有异常（也就是把里面的忽略全部√上），然后CTRL+F2重载下程序！
　　2.按ALT+M,打开内存镜象，找到程序的第一个。rsrc.按F2下断点，然后按SHIFT+F9运行到断点。
　　3.接着再按ALT+M,打开内存镜象，找到程序的第一个。rsrc.上面的。CODE，按F2下断点！然后按SHIFT+F9，直接到达程序OEP！

http://www.hackbase.com/soft/2009-08-30/20430.html