ASPack
- 按步就班
不能讓程序往上跳,否則會進入殼的循環。
一直走(F8),走到一個大跳轉的時候,那個很有可能就是程序的入口。
- ESP寄存器
當八個寄存器沒有變化是ESP地址變化,將找到對應的地址下斷點,然而運行,運行附近的代碼找到大跳轉進入程序入口進行脫殼。
PECompact2
按F7跟隨
7C92E493 E8 C6EBFFFF call ntdll.ZwContinue
按F7自動跳轉
7C92D068 FF12 call dword ptr ds:[edx]
Npack
01013290 > 833D 4C3E0101 00 cmp dword ptr ds:[1013E4C],0
01013297 75 05 jnz short notepad.0101329E
01013299 E9 01000000 jmp notepad.0101329F
0101329E C3 retn
0101329F E8 46000000 call notepad.010132EA
010132A4 E8 73000000 call notepad.0101331C
010132A9 B8 90320101 mov eax,offset notepad.<模塊入口點>
010132AE 2B05 083E0101 sub eax,dword ptr ds:[1013E08]
010132B4 A3 403E0101 mov dword ptr ds:[1013E40],eax
010132B9 E8 9C000000 call notepad.0101335A
010132BE E8 48020000 call notepad.0101350B
010132C3 E8 F8060000 call notepad.010139C0
010132C8 E8 47060000 call notepad.01013914
010132CD A1 403E0101 mov eax,dword ptr ds:[1013E40]
010132D2 C705 4C3E0101 01>mov dword ptr ds:[1013E4C],1
010132DC 0105 003E0101 add dword ptr ds:[1013E00],eax
010132E2 FF35 003E0101 push dword ptr ds:[1013E00]
010132E8 C3 retn
Call 轉跳到殼的循環里面了,最后直接F4到010132E8這個地址的時候直接脫殼。
SimplePack
- 狂跳
往下跳的直接按enter,然后按F4,之后接着F8繼續
- ESP
Nspack
- 按步就班
- ESP寄存器
-
分享經驗
這幾個殼是最最最常見的,以前是大家常用的,但是現在一般不再用這些殼了,因為都很好破。
而且一般加殼都是加多層的,爆復雜,脫了一層還要再脫,脫的不會再愛了,就像歌里唱的“如果你願意一層一層剝開我的心,你會發現,你會流淚”,哈哈哈23333333.
我給大家分享一下視頻,本來是錄制的視頻的,然后又轉成GIF,一起跟大家分享了吧。
視頻以及gif下載:http://pan.baidu.com/s/1nt5DTv7
轉載請注明出處:http://www.cnblogs.com/yydcdut/p/3495283.html