我想学习脱壳。都需要什么知识啊？求教程？ - 『脱壳破解讨论求助区』
- 吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn
后使用快捷导航没有帐号？
只需一步，快速开始
请完成以下验证码
请完成以下验证码
查看: 2978|回复: 5
我想学习脱壳。都需要什么知识啊？求教程？
阅读权限10
发帖求助前要善用【】功能，那里可能会有你要找的答案；
求助软件脱壳或者破解思路时，请务必在主题帖中描述清楚你的分析思路与方法，否则会当作求脱求破处理；
如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子分类改成【已解决】；
如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人。
我想学习方面的知识，请问下，我应该学习哪方面的知识？& &
求脱壳教程。谢谢了。&&新人来向大家请教了
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子分类或者标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限10
ximo 脱壳教程(24集全)
http://pan.baidu.com/s/1qWuKxpa
热心回复！
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子分类或者标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限35
最简单的就是去找脱壳机，要不然学习下天草的6种脱壳方法，可应对大部分壳
帮你找了一下
常见脱壳方法
1.PUSHAD （压栈） 代表程序的入口点,
2.POPAD （出栈） 代表程序的出口点，与PUSHAD想对应，一般找到这个OEP就在附近
3.OEP：程序的入口点，软件加壳就是隐藏了OEP（或者用了假的OEP/FOEP），只要我们找到程序真正的OEP，就可以立刻脱壳。
方法一：单步跟踪法
1.用OD载入，点“不分析代码！”
2.单步向下跟踪F8，实现向下的跳。也就是说向上的跳不让其实现！（通过F4）
3.遇到程序往回跳的（包括循环），我们在下一句代码处按F4（或者右健单击代码，选择断点——&运行到所选）
4.绿色线条表示跳转没实现，不用理会，红色线条表示跳转已经实现！
5.如果刚载入程序，在附近就有一个CALL的，我们就F7跟进去，不然程序很容易跑飞，这样很快就能到程序的OEP
6.在跟踪的时候，如果运行到某个CALL程序就运行的，就在这个CALL中F7进入
7.一般有很大的跳转（大跨段），比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN的一般很快就会到程序的OEP。
Btw:在有些壳无法向下跟踪的时候，我们可以在附近找到没有实现的大跳转，右键--&“跟随”,然后F2下断，Shift+F9运行停在“跟随”的位置，再取消断点，继续F8单步跟踪。一般情况下可以轻松到达OEP！
方法二：ESP定律法
ESP定理脱壳（ESP在OD的寄存器中，我们只要在命令行下ESP的硬件访问断点，就会一下来到程序的OEP了！）
1.开始就点F8，注意观察OD右上角的寄存器中ESP有没突现（变成红色）。（这只是一般情况下，更确切的说我们选择的ESP值是关键句之后的第一个ESP值）
2.在命令行下：dd XXXXXXXX(指在当前代码中的ESP地址，或者是hr XXXXXXXX)，按回车！
3.选中下断的地址，断点---&硬件访---&WORD断点。
4.按一下F9运行程序，直接来到了跳转处，按下F8，到达程序OEP。
方法三：内存镜像法
1：用OD打开软件！
2：点击选项——调试选项——异常，把里面的忽略全部√上！CTRL+F2重载下程序！
3：按ALT+M,打开内存镜象，找到程序的第一个.rsrc.按F2下断点，然后按SHIFT+F9运行到断点，接着再按ALT+M,打开内存镜象，找到程序的第一个.rsrc.上面的.CODE（也就是处），按F2下断点！然后按SHIFT+F9（或者是在没异常情况下按F9），直接到达程序OEP！
方法四：一步到达OEP
1.开始按Ctrl+F,输入：popad（只适合少数壳，包括UPX，ASPACK壳），然后按下F2，F9运行到此处
2.来到大跳转处，点下F8，到达OEP！
方法五：最后一次异常法
1：用OD打开软件
2：点击选项——调试选项——异常，把里面的√全部去掉！CTRL+F2重载下程序
3：一开始程序就是一个跳转，在这里我们按SHIFT+F9，直到程序运行，记下从开始按SHIFT+F9到程序运行的次数m！
4：CTRL+F2重载程序，按SHIFT+F9（这次按的次数为程序运行的次数m-1次）
5：在OD的右下角我们看见有一个&SE 句柄&，这时我们按CTRL+G，输入SE 句柄前的地址！
6：按F2下断点！然后按SHIFT+F9来到断点处！
7：去掉断点，按F8慢慢向下走！
8：到达程序的OEP！
方法六：模拟跟踪法
1：先试运行，跟踪一下程序，看有没有SEH暗桩之类
2：ALT+M打开内存镜像，找到（包含=SFX,imports,relocations）
内存镜像，项目 30
Owner=check& &
区段=.aspack
包含=SFX,imports,relocations
初始访问=RWE
3：地址为，如是我们在命令行输入tc eip&,回车，正在跟踪ing。。
Btw:大家在使用这个方法的时候，要理解他是要在怎么样的情况下才可以使用
方法七：“SFX”法
1：设置OD，忽略所有异常，也就是说异常选项卡里面都打上勾
2：切换到SFX选项卡，选择“字节模式跟踪实际入口（速度非常慢）”，确定。
3：重载程序（如果跳出是否“压缩代码？”选择“否”，OD直接到达OEP）
Btw:这种方法不要滥用得好，锻炼能力为妙。
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子分类或者标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限20
先学编程编写壳，懂原理后再来玩脱壳把
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子分类或者标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限20
---------------------------------------------------------------------------------
黑鹰红客基地动画教程
黑鹰红客基地www.3800cc.com
专业的红客安全技术培训基地
多抽出一分钟时间学习.让你的生命更加精彩.
注:10元的动画免费对外公布.20.50.100.200元的动画只提供给本站的vip会员做为辅助教材.
---------------------------------------------------------------------------------
大家好我是你们的新朋友 三人行，接下来的破解班课程将由我和大家一起来度过。学习本来就是一件吃苦的事情，那么学习破解呢，就更加需要耐心了！大家看完这些课程之后，需要自己的下面多多的练习，这样才有长进！动画是一成不变，大家需要学会举一反三！融会贯通！
---------------------------------------------------------------------------------
【脱壳一般流程】
查壳(PEID、FI、PE-SCAN)---&寻找OEP(OD)---&脱壳/Dump(LordPE、PeDumper、OD自带的脱壳插件、PETools)---&修复(Import REConstructor)
【工具介绍】
& &PEID--功能强大的侦壳工具，自带脱壳插件（但是，效果不怎么样）
& &工作原理：核心是userdb.txt（大家看看就完全明白了）[通过壳的入口特征码进行辨认]
& &使用方法：可以拖放、也可以把PEID添加到右键菜单里面去
& &FI--功能强大的侦壳工具，DOS界面。
& &使用方法：可以拖放、可以使用DOS命令行
2、寻找OEP
ollydbg的四个区域
左上角是cpu窗口,分别是地址,机器码,汇编代码,注释;注释添加方便,而且还能即时显示函数的调用结果,返回值.
右上角是寄存器窗口,但不仅仅反映寄存器的状况,还有好多东东;双击即可改变Eflag的值,对于寄存器,指令执行后发生改变的寄存器会用红色突出显示.
cpu窗口下面还有一个小窗口,显示当前操作改变的寄存器状态.
左下角是内存窗口.可以ascii或者unicode两种方式显示内存信息.
右下角的是当前堆栈情况,还有注释啊.
几个经常使用的快捷键
F2：在需要的地方下断点（INT3型断点）
F3：选择打开程序
F4：运行到所选择的那一行
F7：单步进入
F8：单步跟踪
F9：执行程序（运行程序）
其中要特别讲一下3个F9的区别和作用：
根据Ollydbg.hlp的中文翻译
Shift+F9 - 与F9相同，但是如果被调试程序发生异常而中止，调试器会首先尝试执行被调试程序指定的异常处理（请参考忽略Kernel32中的内存非法访问）。
Ctrl+F9 - 执行直到返回，跟踪程序直到遇到返回，在此期间不进入子函数也不更新CPU数据。因为程序是一条一条命令执行的，所以速度可能会慢一些。按Esc键，可以停止跟踪。
Alt+F9 - 执行直到返回到用户代码段，跟踪程序直到指令所属于的模块不在系统目录中，在此期间不进入子函数也不更新CPU数据。因为程序是一条一条执行的，所以速度可能会慢一些。按Esc键，可以停止跟踪。
看这些中文介绍大家可能还不是很明白，用我们通俗的语句来说就是：
Ctrl+F9& & 运行至retn （一般到了retn之后接上F7返回）
Alt+F9& &&&运行至上层调用的下句
Shift+F9& &忽略异常运行
& & 1.其中包括该菜单的下部有上次打开的纪录,该纪录保存有上次未清除的断点.
& & 2.附加.对付那些Anti-Debug程序.先运行程序,再运行od,文件--&附加.
& & 1.执行模块(Alt+E),查看程序使用的动态链接库
& & 2.查看断点.Alt+B
& & 1.运行(F9)加载程序后,运行!
& & 2.暂停(F12)
& & 3.单步进入(F7)遇见CALL进入!进入该子程序.
& & 4.单步跳过(F8)遇见CALL不进去!
& & 5.执行到返回(ALT+F9)就是执行到该子程的返回语句
查看--&文件
二进制文件编辑功能.查看--&文件,打开的文件是二进制显示.选中要改变的机器指令,空格,修改,右击--&保存.
具体的用途在后面的几壳脱壳课程当中将会用到，大家现在理解就行。在后面的操作中学会使用！
其他的一些具体的大家还是要看看OD的中文帮助的
OD自带的脱壳插件--到达OEP之后右键。。。
LordPE、PeDumper--选择所调试的进程--右键--完整脱壳
Import REConstructor 1.6
以上工具的具体操作见动画演示！
后面还会教授到一些其他工具的使用！
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子分类或者标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限10
嗯，好好学习
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子分类或者标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
免责声明：吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的；不得将上述内容用于商业或者非法用途，否则，一切后果请用户自负。本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑中彻底删除上述内容。如果您喜欢该程序，请支持正版软件，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。
( 京ICP备号 | 京公网安备 87号 )
Powered by Discuz!
Comsenz Inc.发生了什么？
随着移动互联的快速普及，用户越来越喜欢在手机端查看内容、交流互动。为了让大家不错过任何精彩瞬间，我们将小组和MOOC迁移至饭团，丰富产品使用功能，提供优质用户体验。
什么是饭团？
饭团是一个自由交流的平台，所有人都可以发布内容，和兴趣相投的人直接分享你的见解；内嵌于微信之中，操作简单，随时随地与他人交流！
我要怎么找到它？
小组和MOOC的用户内容和资料导出功能即将上线223 条评论分享收藏感谢收起《好看》依托百度技术，精准推荐优质短视频内容，懂你所好，量身打造最适合你的短视频客户端！第三方登录：