脱壳之一

脱壳之一

 

1，什么事OEP

     OEP(Original Entry Point) 应用程序的原始入口点

2，壳的作用

     两个加密和压缩

3，脱壳的基本方法

     <1>.用OD载入，不分析代码！
     <2>.单步向下跟踪F8，是向下跳的让它实现
     <3>.遇到程序往回跳的（包括循环），我们在下一句代码处按F4（或者右健单击代码，选择断点——运行到所选）
     <4>.绿色线条表示跳转没实现，不用理会，红色线条表示跳转已经实现！
     <5>.如果刚载入程序，在附近就有一个CALL的，我们就F7跟进去，这样很快就能到程序的OEP
     <6>.在跟踪的时候，如果运行到某个CALL程序就运行的，就在这个CALL中F7进入
     <7>.一般有很大的跳转，比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETE的一般很快就会到程序的OEP。

4，修复

     脱壳后有些程序不能运行，此时可以利用工具进行修复即可

5，常用工具

     Peid,od,lordpe,import fix等

6，基本流程

     查壳，脱壳，修复
7，OEP基本原则

     近跳F7，远跳F8，遇到call用F7进入