|
|
提醒:若下载的软件是收费的"请不要付款",可能是骗子,请立即联系本站举报,执意要付款被骗后本站概不负责。(任何交易请走第三方中介,请勿直接付款交易以免被骗!切记).
软件名
软件是否有壳;是 axpak
软件是否有网络验证;否
软件特点;脱壳自效验
第一步,先用PEID查壳
第二步,然后使用(ESP定律)脱壳,载入文件后运行到pushad
第三步,然后选中寄存器的ESP,右击HP hrak[ESP]
第四步,ESP定律)右键从分析,从模块中删除分析
第五步,(ESP定律))右键,用OD脱壳,复制,修正为(偏移)
第六步,打开Lordpe,选中(咱们OD载入的软件进程)进程,然后修正镜像(修正两次)
第七步,然后在右键完整转存,然后保存
第八步,打开REC(输入表重建工具),然后选中(咱们OD载入的软件进程)
第九步,在OEP,粘贴咱们复制的,修正为,就是第五步
第十步,点击自动查找,然后看rva和尺寸大小
第十一步,然后点击获取输入表,然后查看无效输入表,
第十一步,如果有无效函数(就是里面有为,否的)则,点击函数右键删除
第十二步,然后转存到文件
提示有_杠的就是REC修复完的
第十三步,打开REC修复的文件打不开。代表有自效验
第十四步,用OD载入REC修复的文件,
第十五步,然后点击设置API断点(BreakPoint)在选中(文件)Files在选中GetFileSize
提示GetFileSize(获取文件大小)如果带壳的大小不一样,程序就会退出(自己对比两个文件大小)
第十五步,然后F9运行,然后OD自动断在上面了,然后看堆栈
第十六步,然后选中某某某到函数来自,右键里面的某某到来自后面的地址,然后反汇编窗口跟随
第十七步,然后看CPU,选中CPU调用的函数,下断(第一行)
第十八步,进入B然后删除系统API就是(第十五步)
第十九步,然后重新载入,F9运行,然后会断在咱们的刚刚下断点
第二十步,然后看F8走顺便看下有没有类似(cmp等对比),找到后用计算机算
提示;对照寄存器的 E系列
第二十一步,然后往下走看看对比后会怎么样,如果退出,则返回NOP掉je不是对比(cmp)
第二十二步,然后继续走看看是不是还有判断或者类似上一个cmp,然后找到跳转NOP
第二十三步,右键保存吧(完成)
联系我时,请说是在 挂海论坛 上看到的,谢谢! |
上一篇: XNF CT 制作教程下一篇: Machine 脱壳教程链接
免责声明:
1、本主题所有言论和图片纯属会员个人意见,与本论坛立场无关。一切关于该内容及资源商业行为与www.52ghai.com无关。
2、本站提供的一切资源内容信息仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。
3、本站信息来自第三方用户,非本站自制,版权归原作者享有,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
4、如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵犯你版权的,请邮件与我们联系删除(邮箱:xhzlw@foxmail.com),本站将立即改正。
|
好评
贡献
海币
交易币
发表于 2016-10-23 19:04:18
收藏
转播
淘帖
支持
反对
提升卡
置顶卡
变色卡
千斤顶
照妖镜