內存鏡像法的步驟
( 1 )用 OD 打開軟件
( 2 )點擊選項——調試選項——異常,把里面的忽略全部√上。 CTRL+F2 重載下程序
( 3 )按 ALT+M, 打開內存鏡象,找到程序的第一個 .rsrc. 按 F2 下斷點,然后按 SHIFT+F9 運 行到斷點,接著再按 ALT+M, 打開內存鏡象,找到程序的第一個 .rsrc. 上面的代碼段 .text (或者 CODE )(也就是 00401000 處),按 F2 下斷點。然后按 SHIFT+F9 (或者是在沒異常情況下按 F9 ), 直接到達程序 OEP
實戰
1 查殼
用 PEID 查殼的結果如下圖,可以看出程序加了 ASPack2.12 的殼
2 尋找 OEP
(1)用 OD 載入該程序
(2)依次選擇OD 選項( T )下的調試設置( D )子選擇,彈出如下對話框,切到異常選項卡,將忽略下的子項全部勾上
(3)Ctrl+F2 重新載入要脫殼的程序, Alt+M 打開內存鏡像,找到程序的第一個 .rsrc. 按 F2 下斷點,按下 F9 運行程序
(3)再按 ALT+M, 打開內存鏡象,找到程序的第一個代碼段 .rsrc. 上面的 .text ,按 F2 下斷點, 按下 F9 運行程序
(3)直接到達 OEP
注:有時候在給軟件脫殼,千心萬苦找到了OEP ,卻發現不是常見的“ pushebp ”,而是出 現如下圖這種情況,其實這是 OD 將這段代碼當做數據了沒有進行反匯編識別,解決方 法是,選中一行右鍵選擇“分析”菜單,選擇“分析”下的“分析代碼”, OEP 就會出 現在眼前了
3脫殼
可以使用OD 自帶插件,也可以用 LordPE ,方法和前面 " 單步跟蹤法 " 中使用方法一樣
4 修復
可以使用 ImportFix ,方法和前面 " 單步跟蹤法 " 中使用方法一樣
更多文章、技術交流、商務合作、聯系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號聯系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
