一、概論 殼出于程序作者想對程序資源壓縮、注冊保護的目的，把殼分為壓縮殼和加密殼兩種 UPX ASPCAK TELOCK PELITE NSPACK ... ARMADILLO ASPROTECT ACPROTECT EPE SVKP ... 顧名思義，壓縮殼只是為了減小程序體積對資源進行壓縮，加密殼是程序輸入表等等進行加密保護。當(dāng)然加密殼的保護能力要強得多！ 二、常見脫殼方法 預(yù)備知識 1.PUSHAD （壓棧） 代表程序的入口點, 2.POPAD （出棧） 代表程序的出口點，與PUSHAD想對應(yīng)，一般找到這個OEP就在附近 3.OEP：程序的入口點，軟件加殼就是隱藏了OEP（或者用了假的OEP/FOEP），只要我們找到程序真正的OEP，就可以立刻脫殼。 方法一：單步跟蹤法 1.用OD載入，點“不分析代碼！” 2.單步向下跟蹤F8，實現(xiàn)向下的跳。也就是說向上的跳不讓其實現(xiàn)！（通過F4） 3.遇到程序往回跳的（包括循環(huán)），我們在下一句代碼處按F4（或者右健單擊代碼，選擇斷點——>運行到所選） 4.綠色線條表示跳轉(zhuǎn)沒實現(xiàn)，不用理會，紅色線條表示跳轉(zhuǎn)已經(jīng)實現(xiàn)！ 5.如果剛載入程序，在附近就有一個CALL的，我們就F7跟進去，不然程序很容易跑飛，這樣很快就能到程序的OEP 6.在跟蹤的時候，如果運行到某個CALL程序就運行的，就在這個CALL中F7進入 7.一般有很大的跳轉(zhuǎn)（大跨段），比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN的一般很快就會到程序的OEP。 Btw:在有些殼無法向下跟蹤的時候，我們可以在附近找到?jīng)]有實現(xiàn)的大跳轉(zhuǎn)，右鍵-->“跟隨”,然后F2下斷，Shift+F9運行停在“跟隨”的位置，再取消斷點，繼續(xù)F8單步跟蹤。一般情況下可以輕松到達OEP！ 方法二：ESP定律法 ESP定理脫殼（ESP在OD的寄存器中，我們只要在命令行下ESP的硬件訪問斷點，就會一下來到程序的OEP了！） 1.開始就點F8，注意觀察OD右上角的寄存器中ESP有沒突現(xiàn)（變成紅色）。（這只是一般情況下，更確切的說我們選擇的ESP值是關(guān)鍵句之后的第一個ESP值） 2.在命令行下：dd XXXXXXXX(指在當(dāng)前代碼中的ESP地址，或者是hr XXXXXXXX)，按回車！ 3.選中下斷的地址，斷點--->硬件訪--->WORD斷點。 4.按一下F9運行程序，直接來到了跳轉(zhuǎn)處，按下F8，到達程序OEP。 方法三：內(nèi)存鏡像法 1：用OD打開軟件！ 2：點擊選項——調(diào)試選項——異常，把里面的忽略全部√上！CTRL+F2重載下程序！ 3：按ALT+M,打開內(nèi)存鏡象，找到程序的第一個.rsrc.按F2下斷點，然后按SHIFT+F9運行到斷點，接著再按ALT+M,打開內(nèi)存鏡象，找到程序的第一個.rsrc.上面的.CODE（也就是00401000處），按F2下斷點！然后按SHIFT+F9（或者是在沒異常情況下按F9），直接到達程序OEP！ 方法四：一步到達OEP 1.開始按Ctrl+F,輸入：popad（只適合少數(shù)殼，包括UPX，ASPACK殼），然后按下F2，F9運行到此處 2.來到大跳轉(zhuǎn)處，點下F8，到達OEP！ 方法五：最后一次異常法 1：用OD打開軟件 2：點擊選項——調(diào)試選項——異常，把里面的√全部去掉！CTRL+F2重載下程序 3：一開始程序就是一個跳轉(zhuǎn)，在這里我們按SHIFT+F9，直到程序運行，記下從開始按SHIFT+F9到程序運行的次數(shù)m！ 4：CTRL+F2重載程序，按SHIFT+F9（這次按的次數(shù)為程序運行的次數(shù)m-1次） 5：在OD的右下角我們看見有一個"SE 句柄"，這時我們按CTRL+G，輸入SE 句柄前的地址！ 6：按F2下斷點！然后按SHIFT+F9來到斷點處！ 7：去掉斷點，按F8慢慢向下走！ 8：到達程序的OEP！ 方法六：模擬跟蹤法 1：先試運行，跟蹤一下程序，看有沒有SEH暗樁之類 2：ALT+M打開內(nèi)存鏡像，找到（包含=SFX,imports,relocations） 內(nèi)存鏡像，項目 30 地址=0054B000 大小=00002000 (8192.) Owner=check 00400000 區(qū)段=.aspack 包含=SFX,imports,relocations 類型=Imag 01001002 訪問=R 初始訪問=RWE 3：地址為0054B000，如是我們在命令行輸入tc eip<0054B000,回車，正在跟蹤ing。。 Btw:大家在使用這個方法的時候，要理解他是要在怎么樣的情況下才可以使用 方法七：“SFX”法 1：設(shè)置OD，忽略所有異常，也就是說異常選項卡里面都打上勾 2：切換到SFX選項卡，選擇“字節(jié)模式跟蹤實際入口（速度非常慢）”，確定。 3：重載程序（如果跳出是否“壓縮代碼？”選擇“否”，OD直接到達OEP） Btw:這種方法不要濫用得好，鍛煉能力為妙。