不能让程序往上跳,否则会进入壳的循环。
一直走(F8),走到一个大跳转的时候,那个很有可能就是程序的入口。
当八个寄存器没有变化是ESP地址变化,将找到对应的地址下断点,然而运行,运行附近的代码找到大跳转进入程序入口进行脱壳。
按F7跟随
7C92E493 E8 C6EBFFFF call ntdll.ZwContinue
按F7自动跳转
7C92D068 FF12 call dword ptr ds:[edx]
01013290 > 833D 4C3E0101 00 cmp dword ptr ds:[1013E4C],0
01013297 75 05 jnz short notepad.0101329E
01013299 E9 01000000 jmp notepad.0101329F
0101329E C3 retn
0101329F E8 46000000 call notepad.010132EA
010132A4 E8 73000000 call notepad.0101331C
010132A9 B8 90320101 mov eax,offset notepad.<模块入口点>
010132AE 2B05 083E0101 sub eax,dword ptr ds:[1013E08]
010132B4 A3 403E0101 mov dword ptr ds:[1013E40],eax
010132B9 E8 9C000000 call notepad.0101335A
010132BE E8 48020000 call notepad.0101350B
010132C3 E8 F8060000 call notepad.010139C0
010132C8 E8 47060000 call notepad.01013914
010132CD A1 403E0101 mov eax,dword ptr ds:[1013E40]
010132D2 C705 4C3E0101 01>mov dword ptr ds:[1013E4C],1
010132DC 0105 003E0101 add dword ptr ds:[1013E00],eax
010132E2 FF35 003E0101 push dword ptr ds:[1013E00]
010132E8 C3 retn
Call 转跳到壳的循环里面了,最后直接F4到010132E8这个地址的时候直接脱壳。
往下跳的直接按enter,然后按F4,之后接着F8继续
这几个壳是最最最常见的,以前是大家常用的,但是现在一般不再用这些壳了,因为都很好破。
而且一般加壳都是加多层的,爆复杂,脱了一层还要再脱,脱的不会再爱了,就像歌里唱的“如果你愿意一层一层剥开我的心,你会发现,你会流泪”,哈哈哈23333333.
我给大家分享一下视频,本来是录制的视频的,然后又转成GIF,一起跟大家分享了吧。
视频以及gif下载:http://pan.baidu.com/s/1nt5DTv7
转载请注明出处:http://www.cnblogs.com/yydcdut/p/3495283.html