前言:
折腾了一上午,把平常用到的工具转移到了新电脑上,VMware装了6遍,从VM9到VM11……结果英文不好,一开始以为提示KEY已经过期,结果最后才知道竟然是请以管理员身份运行KEY。算了桑心得话不说,过一段时间我会把我装机的好工具打包给大家,今天我们就来瞧一瞧 OllyDbg的二次断点法脱壳。 PS:教程来自云shark恒 ,不过本人属于实践型。
开始:
第一步,我们用PE查下壳,尽管课件上已经很明显。
我们到选项=》调试设置=》异常来吧所有异常忽略打上勾如图:
UPX壳子,接下来我们载入OD,alt+m进入内存页面,当然你也可以按快捷小M。显示如下图:
注意:解码段不是004000这个位置了,看到图中.Rsrc圈起来的地方,我们在这里F2设置访问中断点,然后shift+F9来到领空,按小M快捷切回。然后在PE文件头下面的UPX0(解码段)F2断点,shift+F9来到领空。
注意,我的加壳程序名为UPX-0-98所以我才选择这两个而不是下面的。我们来到领空,进行F8单步跟踪。 向上跳转的我们选择下一行进行F4跳到下一行。
我在这里,直接死掉了,OD无响应,所以我觉得重新载入,直接跳到下一行。然而并没有什么卵用,继续被终结在这里,看来这一段根本不能运行,无论在后面的CALL还是pushF4都不可以。我直接删除这行代码继续往下F8单步跟踪——然后果断找到了传说中的OEP。
是不是觉得怪怪的,没错这和VC7.0++的入口很像,果断右键调试进程,OD进行脱壳处理。表示一切正常。
后记:
别小看这几张图几个字的文章,方块整整尝试了2个半小时,因为这个壳子的教程脱法是popad法,而我偶然看到二次断点法就想试试,别提那个终结段有多头疼了,进行不下去,还是别人提醒我删除代码才继续下来了。大牛勿喷,好了,我要吃午饭了,这都什么点了。
