第五课–散人手把手教你学破解.docxVIP

第五课 - 手把手教你学破解 2012年1月23日 星期一 13:25 ? 嗨`~，大家好~我是散人，见面是我们的缘分，我就不多说了！好，今天我们讲UPX?壳的脱法，我将用另一种非常简单易懂的方法将它拿下！并且这种脱法也适用于其它的壳，如我们以前讲过的ASP?，好！开始讲吧！使用的工具老样子！我就不多说了！ 带有UPX壳的笔记本的下载地址： HYPERLINK /file/f4601dcb22 UPX.exe 好！现在我们先用OD载入这个带有UPX壳的笔记本！我们先看看这个软件~（如图） ? 嘿嘿~看到了吗？第一句，Pushad?我在第3节课说过开头遇到关键句，可以用ESP定律法将它脱壳，!呵呵！是不是你们现在就能脱掉它的壳了呢？但是，我今天说了，我要用别的方法跟它打！大家就看着吧！今天我为大家介绍的是名叫“内存镜像法”的脱壳方法，既然叫内存镜像法，当然跟内存有关系了~！那怎么做呢？看我操作吧！ 我们先点（载入好笔记本的）OD左上方的查看-----内存?这时我们就到达了内存映射区了！（如图） ? ? 在内存映射区中写的都是系统的内存地址，我们要想找到我们脱壳用的相关系统内存地址的话，我们就一定要知道我们破解的软件的名称，我们先看看软件的名称（如图） ? ? 呵呵！文件的名字就叫做UPX.exe，那我们就根据文件名在内存映射的“宿主”区中先找到这个笔记本的内存段！呵呵！找到了！（如图） ? ? ? 呵呵！好！现在我们已经找到了软件的内存段了，那我就先讲下“内存镜像法”的操作方法吧！内存镜像法也就是先找到破解软件的内存段之后在这内存段中找到第一个。Rsrc?利用设置访问中断的办法先到达相关的地址后再用内存映射法找到笔记本的内存段的第一个code?段之后再利用设置访问中断的办法直接到达OEP，呵呵！大家有可能没听明白！我操作一下大家便知道了！好！现在我们第一部找到软件的内存段我们已经找完了，那下一步就是在这段内存中找到。Rsrc??呵呵！我找到了！（如图） ? ? 呵呵！那我们就用设置访问中断的办法找到相关地址吧！我们先在带有。Rsrc这段内存地址处点右键在弹出的菜单栏中点设置访问中断?（如图） ? ? 这时我们??看一下带有。Rsrc?的这段地址的地址标志处变成了红色，这说明我们下断已经成功！（如图） ? 好！现在我们点一下OD左上角的运行程序（F9）键就到达了在反汇编窗口中的相应地址处了！（如图） ? ? 之后我们在根据内存镜像法往下走，用内存映射找到这个笔记本的内存段中的第一个code之后在利用设置访问中断的办法下断，在按运行程序键，我们就很快的到达了OEP的附近了！（如图） ? ? ? 呵呵！好！现在我们就到达了上图的地址位置了（在反汇编窗口中）！按照内存镜像法，我们现在离OEP应该不远了，我们先按步过键往下走，这时我们就来到了这段地址（如图） ? ? ? ? 我们看上图我们现在所在的地址有一个JMP?我不用说大家都知道，是无条件跳转的意思！它的箭头指向的是上面的0040E9E9?这也说明我们在按下步过，那我们将会跳到上面指向的地址去了！而我们应该做的是往下走！所以我们就要越过这个跳转，但我们在看下一句，有个CALL?假如一会我们越过JMP到了这段带有CALL的地址的话那程序就有可能将会跑飞！什么是跑飞呢？跑飞就是打开软件的意思！一旦我们跑飞打开软件的话，那我们破解的程序也会跟着跑，这样的话我们的反汇编窗口的地址将会跑到别处去就没有办法破解了！，只有重新载入重来！为什么会有这种情况呢？因为CALL?的意思是打开，召开，CALL后面的地址也就是要打开的程序的地址。所以我们不但要越过JMP?这段地址而且还要越过CALL这段地址才能往下走！（只有JMP下行有CALL时才需要两个全部越过，假如CALL上面没有JMP那我们就不需要跳过CALL了直接点步过就行！）好那要怎么越过呢？我们先在CALL下面的代码处点下左键，之后再点右键，在弹出的菜单中点断点---运行到此位置，我们就越过这两行的代码，来到了下一行！?（如图） ? ? 这时我们在往下行看！（如图） ? ? 我们看在POPAD的下一行还有个无条件跳转，它指向的是一个很大的跳转，要从0040EA0F跳到004010CC，我在第3节课中说过判断是否到达OEP的方法中就有一条是说只要有大跳转的话那就有可能快到达OEP了！呵呵！所以我认为OEP已经快到了！那我们就继续步过往下走吧！我们点二下步过键，这时我们将会来到这段地址！（如图） ? ? 呵呵！哈哈~我们已经到达OEP了！呵呵！好，那我们还想什么呢！脱吧！呵呵！我在第３节课中讲过脱壳的方法的哦！呵呵～没看过第３课的朋友那就先看看第３节课吧！ 我今天的课程就讲到这里了！，大家慢慢吸收吧！886~~~ ? 课程将每周日发布一篇 ?