建议大家使用FireFox、Opera、Safri、IE8+等主流浏览器访问本站,否则可能会出现不兼容等问题!

OllyDbg 基础 二次断点法脱壳

破解相关 凶恶的方块 3420次浏览 已收录 4个评论

前言:

折腾了一上午,把平常用到的工具转移到了新电脑上,VMware装了6遍,从VM9到VM11……结果英文不好,一开始以为提示KEY已经过期,结果最后才知道竟然是请以管理员身份运行KEY。算了桑心得话不说,过一段时间我会把我装机的好工具打包给大家,今天我们就来瞧一瞧 OllyDbg的二次断点法脱壳。 PS:教程来自云shark恒 ,不过本人属于实践型。

 

开始:

第一步,我们用PE查下壳,尽管课件上已经很明显。

OllyDbg 基础 二次断点法脱壳

 

我们到选项=》调试设置=》异常来吧所有异常忽略打上勾如图:

OllyDbg 基础 二次断点法脱壳

 

UPX壳子,接下来我们载入OD,alt+m进入内存页面,当然你也可以按快捷小M。显示如下图:

OllyDbg 基础 二次断点法脱壳

注意:解码段不是004000这个位置了,看到图中.Rsrc圈起来的地方,我们在这里F2设置访问中断点,然后shift+F9来到领空,按小M快捷切回。然后在PE文件头下面的UPX0(解码段)F2断点,shift+F9来到领空。

注意,我的加壳程序名为UPX-0-98所以我才选择这两个而不是下面的。我们来到领空,进行F8单步跟踪。 向上跳转的我们选择下一行进行F4跳到下一行。

OllyDbg 基础 二次断点法脱壳

我在这里,直接死掉了,OD无响应,所以我觉得重新载入,直接跳到下一行。然而并没有什么卵用,继续被终结在这里,看来这一段根本不能运行,无论在后面的CALL还是pushF4都不可以。我直接删除这行代码继续往下F8单步跟踪——然后果断找到了传说中的OEP。

OllyDbg 基础 二次断点法脱壳

 

是不是觉得怪怪的,没错这和VC7.0++的入口很像,果断右键调试进程,OD进行脱壳处理。表示一切正常。

后记:

别小看这几张图几个字的文章,方块整整尝试了2个半小时,因为这个壳子的教程脱法是popad法,而我偶然看到二次断点法就想试试,别提那个终结段有多头疼了,进行不下去,还是别人提醒我删除代码才继续下来了。大牛勿喷,好了,我要吃午饭了,这都什么点了。


方块网络 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明OllyDbg 基础 二次断点法脱壳
喜欢 (1)or分享 (0)
avatar
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
(4)个小伙伴在吐槽
  1. avatar
    呜呜,方块君讲的太深奥了……
    Brother Sharp2015-09-18 22:45 回复 Windows 7 | Chrome 42.0.2311.152
    • 咳咳,深奥什么啊……
      凶恶的方块2015-09-19 10:50 回复 Windows 8.1 | Chrome 31.0.1650.63
      • avatar
        很难了……我完全不懂为啥要这样做……不明白原理就代表不会变通
        Brother Sharp2015-09-19 11:39 回复 Windows 7 | Chrome 42.0.2311.152
  2. avatar
    貌似有点复杂···
    黑色理想2015-09-09 16:02 回复 Windows 10 | Chrome 42.0.2311.152