Machine 脱壳后怎么去除自效验
软件名软件是否有壳;是 axpak
软件是否有网络验证;否
软件特点;脱壳自效验
第一步,先用PEID查壳
第二步,然后使用(ESP定律)脱壳,载入文件后运行到pushad
第三步,然后选中寄存器的ESP,右击HP hrak
第四步,ESP定律)右键从分析,从模块中删除分析
第五步,(ESP定律))右键,用OD脱壳,复制,修正为(偏移)
第六步,打开Lordpe,选中(咱们OD载入的软件进程)进程,然后修正镜像(修正两次)
第七步,然后在右键完整转存,然后保存
第八步,打开REC(输入表重建工具),然后选中(咱们OD载入的软件进程)
第九步,在OEP,粘贴咱们复制的,修正为,就是第五步
第十步,点击自动查找,然后看rva和尺寸大小
第十一步,然后点击获取输入表,然后查看无效输入表,
第十一步,如果有无效函数(就是里面有为,否的)则,点击函数右键删除
第十二步,然后转存到文件
提示有_杠的就是REC修复完的
第十三步,打开REC修复的文件打不开。代表有自效验
第十四步,用OD载入REC修复的文件,
第十五步,然后点击设置API断点(BreakPoint)在选中(文件)Files在选中GetFileSize
提示GetFileSize(获取文件大小)如果带壳的大小不一样,程序就会退出(自己对比两个文件大小)
第十五步,然后F9运行,然后OD自动断在上面了,然后看堆栈
第十六步,然后选中某某某到函数来自,右键里面的某某到来自后面的地址,然后反汇编窗口跟随
第十七步,然后看CPU,选中CPU调用的函数,下断(第一行)
第十八步,进入B然后删除系统API就是(第十五步)
第十九步,然后重新载入,F9运行,然后会断在咱们的刚刚下断点
第二十步,然后看F8走顺便看下有没有类似(cmp等对比),找到后用计算机算
提示;对照寄存器的 E系列
第二十一步,然后往下走看看对比后会怎么样,如果退出,则返回NOP掉je不是对比(cmp)
第二十二步,然后继续走看看是不是还有判断或者类似上一个cmp,然后找到跳转NOP
第二十三步,右键保存吧(完成)
我就是过来看看
页:
[1]