示例图片三

新闻资讯

联系方式

加密狗复制克隆网
电  话:13528540969
联系人:  刘先生
Email:4642967@qq.com
网  址:www.crackdongle.com
地  址 :广东省深圳市地王大厦38层8801号

当前位置: 网站首页 > 新闻资讯 > 业界资讯
业界资讯

新手必须知道的加密狗脱壳及修复工具

查壳(PEID、FI、PE-SCAN)--->寻找OEP(OD)--->脱壳/Dump(LordPE、PeDumper、OD自带的脱壳插件、PETools)--->修复(Import REConstructor)

【工具介绍】
1、查壳
    PEID--功能强大的侦壳工具,自带脱壳插件(但是,效果不怎么样)
    工作原理:核心是userdb.txt(大家看看就完全明白了)[通过壳的入口特征码进行辨认]
    使用方法:可以拖放、也可以把PEID添加到右键菜单里面去

    FI--功能强大的侦壳工具,DOS界面。
    使用方法:可以拖放、可以使用DOS命令行

2、寻找OEP
   
ollydbg的四个区域

左上角是cpu窗口,分别是地址,机器码,汇编代码,注释;注释添加方便,而且还能即时显示函数的调用结果,返回值. 
右上角是寄存器窗口,但不仅仅反映寄存器的状况,还有好多东东;双击即可改变Eflag的值,对于寄存器,指令执行后发生改变的寄存器会用红色突出显示. 
cpu窗口下面还有一个小窗口,显示当前操作改变的寄存器状态.
左下角是内存窗口.可以ascii或者unicode两种方式显示内存信息.
右下角的是当前堆栈情况,还有注释啊.

几个经常使用的快捷键

F2:在需要的地方下断点(INT3型断点)
F3:选择打开程序
F4:运行到所选择的那一行
F7:单步进入
F8:单步跟踪
F9:执行程序(运行程序)


其中要特别讲一下3个F9的区别和作用:

根据Ollydbg.hlp的中文翻译

Shift+F9 - 与F9相同,但是如果被调试程序发生异常而中止,调试器会首先尝试执行被调试程序指定的异常处理(请参考忽略Kernel32中的内存非法访问)。

Ctrl+F9 - 执行直到返回,跟踪程序直到遇到返回,在此期间不进入子函数也不更新CPU数据。因为程序是一条一条命令执行的,所以速度可能会慢一些。按Esc键,可以停止跟踪。

Alt+F9 - 执行直到返回到用户代码段,跟踪程序直到指令所属于的模块不在系统目录中,在此期间不进入子函数也不更新CPU数据。因为程序是一条一条执行的,所以速度可能会慢一些。按Esc键,可以停止跟踪。

看这些中文介绍大家可能还不是很明白,用我们通俗的语句来说就是:
Ctrl+F9     运行至retn (一般到了retn之后接上F7返回)
Alt+F9      运行至上层调用的下句
Shift+F9    忽略异常运行


文件: 
     1.其中包括该菜单的下部有上次打开的纪录,该纪录保存有上次未清除的断点. 
     2.附加.对付那些Anti-Debug程序.先运行程序,再运行od,文件-->附加.

查看: 
     1.执行模块(Alt+E),查看程序使用的动态链接库
     2.查看断点.Alt+B

调试: 
     1.运行(F9)加载程序后,运行! 
     2.暂停(F12) 
     3.单步进入(F7)遇见CALL进入!进入该子程序. 
     4.单步跳过(F8)遇见CALL不进去! 
     5.执行到返回(ALT+F9)就是执行到该子程的返回语句

查看-->文件

二进制文件编辑功能.查看-->文件,打开的文件是二进制显示.选中要改变的机器指令,空格,修改,右击-->保存.


其他的一些具体的大家还是要看看OD的中文帮助的

3、Dump
OD自带的脱壳插件--到达OEP之后右键。。。
LordPE、PeDumper--选择所调试的进程--右键--完整脱壳

4、修复
Import REConstructor 1.6
脱壳后,程序肯定不能正常运行,当然需要这个软件修复下啦~~

5 自校验
很多软件脱壳后,会碰到这个问题,其实也简单,找到弹错误框上面CALL,断点,一般下面有个关键跳,自己根据情况跳还是不跳,或者开两个OD,一个是原来的,一个事脱壳后的,比较下,就知道怎么修改了~

分享到:
点击次数:  更新时间:2018-08-08 10:18:18  【打印此页】  【关闭