调试工具是PEID和OD
脱壳工具为OllyDbg,在oep处右键,用ollydump脱壳调试进程。
单步跟踪
单步调试,向上的跳转不让其实现,向下跳转可以实现。(F8单步调试) 当遇到向上的跳转的时候可以在其下一行,右键,断点,运行到选定位置即可。当碰到向上跨度很大的跳转时,考虑跳到oep。
ESP定律法
F8单步调试,ESP突变。右键,在数据窗口跟随。
ESP定律法.png
也可以用dd XXXXX或hr XXXXX 然后在下面数值处设置硬件访问断点,然后运行,在单步即可进入oep。 注意每设置一次硬件断点运行后都删除,以免出现错误
硬件访问
2次内存镜像法
首先进入内存窗口,然后找程序段的.rsrc,下断点,然后运行。
2次内存镜像法
2次内存镜像法
然后在进入内存窗口,找程序段的upx0,一般为Exeinfo显示的第一个,下断点,运行。然后单步调试到大的向上跳转出,即可进入oep。
一步直达法
适用于大部分的UPX壳和aspack壳 进入程序时为pushed进栈命令,需要查找对应的出栈命令。 CRRL F查找popad出栈命令,然后运行到该位置。单步进入跳转位置。
Paste_Image.png
