自己的脱壳过程(PEtite2.2)

最新推荐文章于 2022-07-30 15:52:01 发布
最新推荐文章于 2022-07-30 15:52:01 发布
阅读量1.8k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 脱壳
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hades1996/article/details/9393383
当常规方法无法跟踪到PEtite 2.2壳的OEP时,通过设置异常断点并在SEH链中定位,跟随异常处理程序,最终找到跳转到OEP的call指令,成功分析壳的脱壳过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

以前分析过一个壳的源码就是用异常到达OEP(而不是单纯jmpoep)

今天脱的这个PEtite 2.2用普通的方法(内存断点,ESP定律等)似乎都无法跟到OEP

这种情况下可以尝试异常法,就是说这个壳在某个位置触发一个异常,让你的程序跟不下去,解决方法也很简单就是到那个异常里面下一个断点然后跟着异常处理程序走一段就发现跳转到OEP的位置了

OD选项中不忽略任何异常

Shift+F9三次之后程序跑起来

重载程序,Shift+F9两次

OD菜单-查看-SEH链,在第一项上放置一个F2断点

Shift+F9运行程序 断到以下代码:

00405B0E    33C0            xor     eax, eax
00405B10    64:8B18         mov     ebx, dword ptr fs:[eax]
00405B13    8B1B            mov     ebx, dword ptr [ebx]
00405B15    8D63 AE         lea     esp, dword ptr [ebx-52]
00405B18    61              popad
00
最低0.47元/天 解锁文章

200万优质内容无限畅学
petite脱壳
11-20
petite脱壳机,亲测可用,效果很好。
红黑全能自动脱壳机——非常强大的脱壳工具
08-21
红黑全能自动脱壳机 非常强大的脱壳工具 下面是它能脱的壳: upx 0.5x-3.00 aspack 1.x--2.x PEcompact 0.90--1.76 PEcompact 2.06--2.79 NsPack nPack FSG 1.0--1.3 v1.31 v1.33 v2.0 VGCrypt0.75 expressor 1.0--1.5 dxpack v0.86 v1.0 !Epack v1.0 v1.4 mew1.1 packMan 1.0 PEDiminisher 0.1 pex 0.99 petite v1.2 - v1.4 petite v2.2 petite v2.3 winkript 1.0 pklite32 1.1 pepack 0.99 - 1.0 pcshrinker 0.71 wwpack32 1.0 - 1.2 upack v0.10 - v0.32 upack v0.33 - v0.399 RLPack Basic Edition 1.11--1.18 exe32pack v1.42 kbys 0.22 0.28 morphine v1.3 morphine v1.6 morphine v2.7 yoda's protector v1.02 yoda's protector v1.03.2 yoda's crypt v1.2 yoda's crypt v1.3 EXE Stealth v2.72--v2.76 bjfnt v1.2 - v1.3 HidePE 1.0--1.1 jdpack v1.01 jdpack v2.0 jdpack v2.13 PEncrypt v3.1 PEncrypt v4.0 Stone's PE Crypt v1.13 telock v0.42 telock v0.51 telock v0.60 telock v0.70 telock v0.71 telock v0.80 telock v0.90 telock v0.92 telock v0.95 v0.96 v0.98 v0.99 ezip v1.0 hmimys-packer v1.0 jdprotect v0.9b lamecrypt UPolyX v0.51 StealthPE 1.01 StealthPE 2.2 depack 涛涛压缩器 polyene 0.01 DragonArmour EP Protector v0.3 闪电壳(expressor) BeRoEXEPacker PackItBitch 木马彩衣 mkfpack anti007 v2.5 v2.6 yzpack v1.1 v1.2 v2.0 spack_method1 v1.0 v1.1 v1.2 v1.21 spack_method2 v1.1 v1.2 v1.21 xj1001 xj1000 xj看雪测试版 xj1003 xpal4 仙剑-凄凉雪 仙剑-望海潮 mslrh0.31 v0.32 [G!X]'s Protect
手动脱壳进阶第1篇Petite2.2
kingblue172的专栏
09-23 891
手动脱壳进阶第1篇Petite2.2Petite2.2具有10级的压缩级别,可以同时压缩 PE 文件的输入/输出表,去除重定位表,并且加上检测病毒的功能,即可以用来给 PE 文件减肥,也可以用来保护自己的程序。评价:压缩级别选9级很费时间,压缩比同Upx和Aspack差不多,优点是具备病毒检测功能,病毒修改未脱壳后会有发现病毒警告,使用了结构化异常处理SEH反跟踪调试,正常运行时没影响。属入门级加
手脱 PEtite 2.x [Level 1/9] -> Ian Luck 笔记 by:凉游浅笔深画眉 / Net7Cracker
weixin_30642267的博客
09-17 284
这款壳不是什么强壳,属于普通的压缩壳 首先OD载入程序中断在此处 我们单步步跟踪 来到这里,esp定律下硬件访问word断点! 程序在0042d03d处弹栈,之后F8单步跟 一个大JMP之后程序来到这里 鼠标右键,从模块中删除分析,就来到了程序的OEP,看着样子应该是VB程序 转载于:https://www.cnblogs.com/f...
脱壳方法总结
宗泽的博客
06-09 9572
一、单步跟踪法   脱壳的方法有很多,先来讲脱壳方法中最基础的单步跟踪法。单步跟踪法就是利用OD的单条指令执行功能,从壳的入口一直执行到OEP,最终通过这个OEP将原程序dump出来。然当,在单步跟踪的时候需要跳过一些不能执行到的指令。   使用单步跟踪法追踪OEP的常见步骤:   1、用OD载入待脱壳文件,如果出现压缩提示,选择“不分析代码”;   2、向下单步跟踪,实现向下的跳转;   3、遇...
红黑全能自动脱壳机——全能脱壳
01-22
它的壳特征和编译器特征保存在HackFans.txt里面,能识别出来的壳,基本上都有对应的脱壳函数,用壳特征脱壳,可以脱壳,对于一些不好特殊的壳你可以用OEP侦测来脱壳,这要依赖编译器特征,你也可以自己添加编译器特征到...
万能自动脱壳
11-07
自动脱壳,帮你完成破解之忧. upx 0.5x-3.00 aspack 1.x--2.x PEcompact 0.90--1.76 PEcompact 2.06--2.79 NsPack nPack FSG 1.0--1.3 v1.31 v1.33 v2.0 VGCrypt0.75 expressor 1.0--1.5 dxpack v0.86 v1.0...
全能脱壳
10-23
它的壳特征和编译器特征保存在HackFans.txt里面,能识别出来的壳,基本上都有对应的脱壳函数,用壳特征脱壳,可以脱壳,对于一些不好特殊的壳你可以用OEP侦测来脱壳,这要依赖编译器特征,你也可以自己添加编译器特征到...
假期学习脱壳技巧总结(一)
weixin_43600412的博客
03-19 294
脱壳是破解逆向题目的必要过程,但是这一过程往往也是让人挠破头皮的又多又杂,别问我怎么知道的。 1.upx(压缩壳) 方法一:单步跟踪 使程序只执行向下跳转,不让向上跳,直到运行到popad处(和开始的pushad对应),后面的jmp大跳跳转到oep。 方法二:ESP定律法 pushad后根据寄存器ESP的值在数据窗口跟随(命令:dd [ESP] ) 断点—>硬件访问—>Word(命令:...
老壳petite不完全分析
dalixux的专栏
10-15 1256
0040D042 >  B8 00D04000     MOV EAX,Notepad.0040D000      ;最后一节的起始地址         0040D047    68 4C584000     PUSH Notepad.0040584C         ;异常处理例程0040D04C    64:FF35 0000000>PUSH DWORD PTR FS:[0]0040D053
35款最新自动脱壳工具合集
09-23
本人收集的比较好用的自动脱壳工具,共35款,一包打尽所有工具.
万能自动脱壳工具:QuickUnpack_V2.3
02-28
该程序是真正的快速解包的简单解包程序 (UPX, AsPack, PE Diminisher, PE-PACK, 等)。它有小的尺寸并且是相当快的。 Quick Unpack 能脱壳的对象有: ASPack 2.12 UPX 1.xx FSG 1.33 PE Diminisher 0.1 PECompact 1.84 ... IAT 恢复只能在 Win2000/XP/2003 之下使用。
逆向基础-脱壳
AppWhite_Star的博客
07-30 2208
逆向基础-脱壳
PEtite 2.x [Level 1/9] -> Ian Luck
xum2008的专栏
11-12 1576
 1: 可以用 变相的 ESP 定律; 程序开始是这样的: 00415042 > B8 00504100 MOV EAX,KeyGen-m.00415000 00415047 68 38214000 PUSH KeyGen-m.00402138 0041504C 64:FF35 00000000 PUSH DWORD PTR FS:[0] 00415053 64:892
常用加壳及对应脱壳软件对应表
weixin_33888907的博客
09-23 267
下表是常用的加壳软件和相应的专用脱壳软件名列表,当我们遇到加密的软件,在侦测出壳名后就可以用下表中对应的脱壳软件进行脱壳: 壳名 专用脱壳软件 壳名 ...
常用脱壳工具
kezhen的专栏
10-31 4807
常用脱壳工具有:   1.文件分析工具(侦测壳的类型):Fi,GetTyp,peid,pe-scan,   2.OEP入口查找工具:SoftICE,TRW,ollydbg,loader,peid   3.dump工具:IceDump,TRW,PEditor,ProcDump32,LordPE   4.PE文件编辑工具PEditor,ProcDump32,LordPE
加壳工具简介
Hank's Techblog
10-15 4379
<br />1.程序编写语言: <br />常见的程序制作语言有:<br />Borland Delphi 6.0 - 7.0<br />Microsoft Visual C++ 6.0<br />Microsoft Visual Basic 5.0 / 6.0<br />还有汇编、易语言等。 很多软件都通过加壳保护来提高软件的破解难度,下面我们简单的介绍一下加壳工具。 <br />2.软件加壳工具介绍: <br />II 压缩壳介绍: <br />常见压缩壳有:ASPack、UPX、PeCompact、N
病毒加壳技术与脱壳技术
B_H_L的专栏
10-16 4900
由于大量的杀毒软件的出现,以及杀毒软件病毒库的不断壮大,病毒被查杀的几率也越来越大。所以有些病毒就开始通过加壳的方法来伪装自己,企图骗过杀毒软件,蒙混过关。为了做好病毒防御,我们就该了解什么是加壳?加壳的对立面是不是脱壳?如何脱壳等?    一 什么是壳:    计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任
Procdumpump162:多功能exe通用脱壳工具介绍
"petite21.txt"可能是一个文本文件,其中包含了关于Petite外壳的特定信息或说明,可能是工具使用说明的一部分,也可能是脱壳时所需的关键数据。 综上所述,该文件信息展示了一款专业级的逆向工程工具,它在软件安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值