设为首页收藏本站
切换到窄版

WPE|52wpe|我爱WPE

 找回密码
 注册会员
搜索
返回列表 发新帖
  • 2756查看
  • 0回复

[转贴] 软件脱壳教程(如何给软件脱壳)

125243102

主题

好友

604

积分

高级会员
发表于 2011-11-29 14:05:19 |显示全部楼层
一、用PEiD先查一下程序有无加壳,得到有加了壳:FSG 2.0 -> bart/xt   
   
二、用OllySTC载入程序,如下:   
   
00400154 > 8725 74A24100   XCHG DWORD PTR DS:[41A274],ESP   -->载入后到这里   
                                            F8单步进入,   
0040015A   61         POPAD                     
0040015B   94         XCHG EAX,ESP   
0040015C   55         PUSH EBP   
0040015D   A4         MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI]   
0040015E   B6 80       MOV DH,80   
00400160   FF13         CALL DWORD PTR DS:[EBX]   
00400162 ^ 73 F9       JNB SHORT FSG2_0.0040015D     -->没有回跳,按F8   
00400164   33C9         XOR ECX,ECX   
00400166   FF13         CALL DWORD PTR DS:[EBX]   
00400168   73 16       JNB SHORT FSG2_0.00400180     -->没有回跳,按F8   
0040016A   33C0         XOR EAX,EAX   
0040016C   FF13         CALL DWORD PTR DS:[EBX]   
0040016E   73 1F       JNB SHORT FSG2_0.0040018F     -->跳到0040018F   
F8来到了0040018F处:   
0040018F   AC         LODS BYTE PTR DS:[ESI]   
00400190   D1E8         SHR EAX,1   
00400192   74 2D       JE SHORT FSG2_0.004001C1     -->没有回跳,按F8   
00400194   13C9         ADC ECX,ECX   
00400196   EB 18       JMP SHORT FSG2_0.004001B0     -->跳到004001B0处   
00400198   91         XCHG EAX,ECX   
00400199   48         DEC EAX   
0040019A   C1E0 08       SHL EAX,8   
0040019D   AC         LODS BYTE PTR DS:[ESI]   
0040019E   FF53 04       CALL DWORD PTR DS:[EBX+4]   
004001A1   3B43 F8       CMP EAX,DWORD PTR DS:[EBX-8]   
004001A4   73 0A       JNB SHORT FSG2_0.004001B0   
004001A6   80FC 05       CMP AH,5   
004001A9   73 06       JNB SHORT FSG2_0.004001B1   
004001AB   83F8 7F       CMP EAX,7F   
004001AE   77 02       JA SHORT FSG2_0.004001B2   
004001B0   41         INC ECX                 -->到这里了   
004001B1   41         INC ECX   
004001B2   95         XCHG EAX,EBP   
004001B3   8BC5         MOV EAX,EBP   
004001B5   B6 00       MOV DH,0   
004001B7   56         PUSH ESI                       ; FSG2_0.00416393   
004001B8   8BF7         MOV ESI,EDI   
004001BA   2BF0         SUB ESI,EAX   
004001BC   F3:A4       REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[>   
004001BE   5E         POP ESI   
004001BF ^ EB 9F       JMP SHORT FSG2_0.00400160       -->回跳到00400160处,用F4跳试到下一行   
004001C1   5E         POP ESI                   -->F8继续   
004001C2   AD         LODS DWORD PTR DS:[ESI]      
004001C3   97         XCHG EAX,EDI   
004001C4   AD         LODS DWORD PTR DS:[ESI]   
004001C5   50         PUSH EAX   
004001C6   FF53 10       CALL DWORD PTR DS:[EBX+10]   
004001C9   95         XCHG EAX,EBP   
004001CA   8B07         MOV EAX,DWORD PTR DS:[EDI]   
004001CC   40         INC EAX   
004001CD ^ 78 F3       JS SHORT FSG2_0.004001C2       -->没有回跳,按F8   
004001CF   75 03       JNZ SHORT FSG2_0.004001D4       -->这里千万不要再F8了,不信自己试一下。用F4跳试到下一行   
004001D1 - FF63 0C       JMP DWORD PTR DS:[EBX+C]           ; FSG2_0.004010CC这是Win98记事本程序的入口点F8进入   
004001D4   50         PUSH EAX
回复

使用道具 举报

返回列表 发新帖

快速发帖

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册会员

手机版|Archiver|WPE|52wpe|我爱WPE ( 闽ICP备15009081号 )

GMT+8, 2024-5-4 05:55 , Processed in 0.076043 second(s), 16 queries .

返回顶部