吾愛破解 新手脫殼破解常見問題 筆記

轉自https://www.52pojie.cn/

新手脫殼破解常見問題幾百問 https://www.52pojie.cn/thread-532026-1-1.html (出處: 吾愛破解論壇)

01、我是新入論壇的萌新,求教如何准確識別到底是哪種殼!
解答：

​ 【初學者教程】破解基礎知識之認識殼與程序的特征 http://www.52pojie.cn/thread-234739-1-1.html
​ 《吾愛破解培訓第一課：破解基礎知識之介紹常見工具和殼的特征》，講師：Hmily，鏈接：http://www.52pojie.cn/thread-378612-1-1.html

02、為什么我跟着教程脫殼時候來到了Oep(程序入口點),但是不一樣!如:【已解決】xiaomo大大破解教程，按照視頻，相同操作，結果卻不同 http://www.52pojie.cn/thread-530863-1-1.html
解答：遇到這種問題時候，我們只需要在OllyDbg的反匯編窗口內 右鍵-分析-刪除分析

03、使用脫殼插件 進行Dump出現異常， 提示 內存無法讀取
解答：不要用WIN7/WIN8或以上系統進行脫殼，換成論壇的xp虛擬機，原因是ASLR基地址隨機化，Dump插件獲取的地址不對

04、脫殼時候的地址跟視頻里的地址不同
解答：不要用WIN7/WIN8或以上系統進行脫殼，換成論壇的xp虛擬機，原因是ASLR基地址隨機化導致地址不同

05、使用異常法脫殼勾除忽略異常后為什么Ollydbg無法暫停
解答：Od插件-StrongOD-Options-Skip Some Some Exceptions 選項勾除，再嘗試重新啟動OD

06、在XP系統上脫完殼可以運行，到Win7/Win8或以上系統上就無法運行
解答：

​ 原因一: IAT未完全修復成功導致,重新修復，不要用脫殼插件，使用LordPE來dump再用ImpREC來修復IAT（不要使用OllyDump來脫殼，老東西bug多，脫完無法運行不計其數）
​ 原因二: 由於ASLR和重定位表的問題，詳見 http://www.52pojie.cn/thread-382462-1-1.html

07、脫完殼用Exeinfo PE查殼顯示“Unknown Packer-Protector”未知。http://www.52pojie.cn/forum.php?mod=redirect&goto=findpost&ptid=530863&pid=13569609
解答：知道脫完就好了，脫完的vs2008的程序Exenfo PE沒能識別出來，但根據它的提示使用它的插件“advance scan”是可以掃描出來的，可以試一下。

08、如何知道是否脫殼成功。
解答：可參考01、簡單的說脫完殼后可以正常運行，OEP入口代碼為無殼代碼特征 ，IAT解密完、資源沒有被壓縮即可。

09、如何完美脫殼和處理重定位。
解答：轉了一些fly的帖子，大家可以參考：
http://www.52pojie.cn/thread-382879-1-1.html
http://www.52pojie.cn/thread-382872-1-1.html
http://www.52pojie.cn/thread-382870-1-1.html

10、關於ximo脫殼教程和論壇虛擬機機中OD使用可能遇到的問題。
解答：OD不要直接在虛擬機的共享文件夾加載文件，請把文件復制到虛擬機磁盤上再進行調試。

11、無法定位程序輸入點 NtdllDefWindowProc_A 於動態鏈接庫 user32.dll上
解答：不要用WIN7/WIN8或以上系統進行脫殼，換成論壇的xp虛擬機。

12、用Improtect 修復IAT時候 找不到目標進程
解答：不要用WIN7/WIN8或以上系統進行脫殼，換成論壇的xp虛擬機。 或 http://www.52pojie.cn/thread-542290-1-1.html【win7管理員運行】

13、有的軟件載入Ollydbg后，點擊單步就卡住
解答：修改od的配置文件Ollydbg.ini，把其中Restore windows的值修改為最小值0或其它。

14、軟件載入Ollydbg后與別人停留的地方不一樣。
解答：檢查Od的配置 選項 > 調試設置 > 事件 > 設置第一次暫停於 > 主模塊入口點