脫殼工具2007-08-31 13:19脫殼一般流程】
查殼(PEID、FI、PE-SCAN)--->尋找OEP(OD)--->脫殼/Dump(LordPE、PeDumper、OD自帶的脫殼外掛程式、PETools)--->修復(Import REConstructor)
【工具介紹】
1、查殼
PEID--功能強大的偵殼工具,自帶脫殼外掛程式(但是,效果不怎么樣)
工作原理:核心是userdb.txt(大家看看就完全明白了)[通過殼的入口特徵碼進行辨認]
使用方法:可以拖放、也可以把PEID添加到右鍵選單裡面去
FI--功能強大的偵殼工具,DOS界面。
使用方法:可以拖放、可以使用DOS命令行
2、尋找OEP
OLLYDBG的四個區域
左上角是cpu視窗,分別是地址,機器碼,彙編代碼,注釋;注釋添加方便,而且還能即時顯示函式的調用結果,返回值.
右上角是暫存器視窗,但不僅僅反映暫存器的狀況,還有好多東東;雙擊即可改變Eflag的值,對於暫存器,指令執行後發生改變的暫存器會用紅色突出顯示.
cpu視窗下面還有一個小視窗,顯示當前操作改變的暫存器狀態.
左下角是記憶體視窗.可以ascii或者unicode兩種方式顯示記憶體信息.
右下角的是當前堆疊情況,還有注釋啊.
幾個經常使用的快捷鍵
F2:在需要的地方下斷點(INT3型斷點)
F3:選擇打開程式
F4:運行到所選擇的那一行
F7:單步進入
F8:單步跟蹤
F9:執行程式(運行程式)
其中要特別講一下3個F9的區別和作用:
根據Ollydbg.hlp的中文翻譯
Shift+F9 - 與F9相同,但是如果被調試程式發生異常而中止,調試器會首先嘗試執行被調試程式指定的異常處理(請參考忽略Kernel32中的記憶體非法訪問)。
Ctrl+F9 - 執行直到返回,跟蹤程式直到遇到返回,在此期間不進入子函式也不更新CPU數據。因為程式是一條一條命令執行的,所以速度可能會慢一些。按Esc鍵,可以停止跟蹤。
Alt+F9 - 執行直到返回到用戶代碼段,跟蹤程式直到指令所屬於的模組不在系統目錄中,在此期間不進入子函式也不更新CPU數據。因為程式是一條一條執行的,所以速度可能會慢一些。按Esc鍵,可以停止跟蹤。
看這些中文介紹大家可能還不是很明白,用我們通俗的語句來說就是:
Ctrl+F9 運行至retn (一般到了retn之後接上F7返回)
Alt+F9 運行至上層調用的下句
Shift+F9 忽略異常運行
檔案:
1.其中包括該選單的下部有上次打開的紀錄,該紀錄保存有上次未清除的斷點.
2.附加.對付那些Anti-Debug程式.先運行程式,再運行od,檔案-->附加.
查看:
1.執行模組(Alt+E),查看程式使用的動態程式庫
2.查看斷點.Alt+B
調試:
1.運行(F9)載入程式後,運行!
2.暫停(F12)
3.單步進入(F7)遇見CALL進入!進入該子程式.
4.單步跳過(F8)遇見CALL不進去!
5.執行到返回(ALT+F9)就是執行到該子程的返回語句
查看-->檔案
二進制檔案編輯功能.查看-->檔案,打開的檔案是二進制顯示.選中要改變的機器指令,空格,修改,右擊-->保存.
具體的用途在後面的幾殼脫殼課程當中將會用到,大家現在理解就行。在後面的操作中學會使用!
其他的一些具體的大家還是要看看OD的中文幫助的
3、Dump
OD自帶的脫殼外掛程式--到達OEP之後右鍵。。。
LordPE、PeDumper--選擇所調試的進程--右鍵--完整脫殼
4、修復
Import REConstructor 1.6
出處:計算機知識
