內(nèi)存鏡像法的步驟
( 1 )用 OD 打開軟件
( 2 )點(diǎn)擊選項(xiàng)——調(diào)試選項(xiàng)——異常,把里面的忽略全部√上。 CTRL+F2 重載下程序
( 3 )按 ALT+M, 打開內(nèi)存鏡象,找到程序的第一個(gè) .rsrc. 按 F2 下斷點(diǎn),然后按 SHIFT+F9 運(yùn) 行到斷點(diǎn),接著再按 ALT+M, 打開內(nèi)存鏡象,找到程序的第一個(gè) .rsrc. 上面的代碼段 .text (或者 CODE )(也就是 00401000 處),按 F2 下斷點(diǎn)。然后按 SHIFT+F9 (或者是在沒(méi)異常情況下按 F9 ), 直接到達(dá)程序 OEP
實(shí)戰(zhàn)
1 查殼
用 PEID 查殼的結(jié)果如下圖,可以看出程序加了 ASPack2.12 的殼
2 尋找 OEP
(1)用 OD 載入該程序
(2)依次選擇OD 選項(xiàng)( T )下的調(diào)試設(shè)置( D )子選擇,彈出如下對(duì)話框,切到異常選項(xiàng)卡,將忽略下的子項(xiàng)全部勾上
(3)Ctrl+F2 重新載入要脫殼的程序, Alt+M 打開內(nèi)存鏡像,找到程序的第一個(gè) .rsrc. 按 F2 下斷點(diǎn),按下 F9 運(yùn)行程序
(3)再按 ALT+M, 打開內(nèi)存鏡象,找到程序的第一個(gè)代碼段 .rsrc. 上面的 .text ,按 F2 下斷點(diǎn), 按下 F9 運(yùn)行程序
(3)直接到達(dá) OEP
注:有時(shí)候在給軟件脫殼,千心萬(wàn)苦找到了OEP ,卻發(fā)現(xiàn)不是常見(jiàn)的“ pushebp ”,而是出 現(xiàn)如下圖這種情況,其實(shí)這是 OD 將這段代碼當(dāng)做數(shù)據(jù)了沒(méi)有進(jìn)行反匯編識(shí)別,解決方 法是,選中一行右鍵選擇“分析”菜單,選擇“分析”下的“分析代碼”, OEP 就會(huì)出 現(xiàn)在眼前了
3脫殼
可以使用OD 自帶插件,也可以用 LordPE ,方法和前面 " 單步跟蹤法 " 中使用方法一樣
4 修復(fù)
可以使用 ImportFix ,方法和前面 " 單步跟蹤法 " 中使用方法一樣
更多文章、技術(shù)交流、商務(wù)合作、聯(lián)系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號(hào)聯(lián)系: 360901061
您的支持是博主寫作最大的動(dòng)力,如果您喜歡我的文章,感覺(jué)我的文章對(duì)您有幫助,請(qǐng)用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點(diǎn)擊下面給點(diǎn)支持吧,站長(zhǎng)非常感激您!手機(jī)微信長(zhǎng)按不能支付解決辦法:請(qǐng)將微信支付二維碼保存到相冊(cè),切換到微信,然后點(diǎn)擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對(duì)您有幫助就好】元
