Cómo descomprimir un programa
Su pregunta es demasiado general. De hecho, el desgranado durante el craqueo es un proceso muy complicado. Algunos shells son fáciles de eliminar. También puede encontrar las máquinas de desgranado correspondientes en Internet. es necesario. Creo que desempaquetar también puede convertirse en un tema complejo. Después de todo, para descomprimirlo, debes aprender a desempaquetar. He visto muchos artículos y videos sobre desempaquetar antes, pero como mis habilidades de programación no son muy buenas, siempre lo hago. Parece engañoso Un día vi un video y finalmente tuve una idea de cómo escapar. Deja tu dirección de correo electrónico y te la puedo enviar, o puedes agregar mi número 240410420. El texto del tutorial de este video es el siguiente. :
Resumen de varios métodos de bombardeo
1. Puntos clave del conocimiento básico de bombardeo
1.PUSHAD: (empujar en la pila) representa la entrada punto del programa
2.POPAD: (pop) representa el punto de salida del programa, correspondiente a PUSHAD Ver esto significa que ya casi es hora de OEP.
3. OEP: el punto de entrada del programa, el paquete de software es Ocultar OEP y lo descomprimimos solo para encontrar OEP.
2. p>
Las siguientes dos condiciones están cerca de OEP* **Mismo fenómeno:
Si ocurre la siguiente situación, significa que OEP está a punto de llegar:
1. Si se encuentra durante el seguimiento de OD:
popad
popad
p>popfd
o
popad
2. Al mismo tiempo, inmediatamente después, hay otras instrucciones de salto como retn, jmp, etc., y se produce un salto de segmento cruzado Cuando.
Indica que OEP está a punto de llegar.
3. Elementos esenciales que deben recordarse para bombardear
1. Avanza en un paso, no dejes que el programa suba. Cuando encuentres un salto hacia arriba, presione F4 en la siguiente oración y ejecute la seleccionada.
2 Cuando el programa recién se carga y se llama a una llamada cercana, presionamos F7 para seguir.
3. Si ejecuta un determinado programa de llamadas durante el seguimiento, use F7 para ingresar esta llamada.
4. Durante el seguimiento, aparece jmp XXXXXX o JE XXXXXX, o RETN ocurre al mismo tiempo en segmentos grandes. significa que llegará pronto a OEP.
IV Resumen de los métodos de bombardeo más utilizados
----------------- -
Método 1: método de seguimiento de un solo paso
------------------
Introducción: este Es el método más común. Este método se usa básicamente para shells desconocidos. El proceso de este método es más problemático. Debes seguir el análisis paso a paso y tener cierta paciencia.
1. Cargue con OD, seleccione "No analizar el código"
2. Rastreo hacia abajo de un solo paso y presione F8 para realizar el salto hacia abajo.
3. Cuando encontramos el programa, para retroceder (incluidos los bucles), presionamos F4 en la siguiente línea de código (o hacemos clic derecho en el código y seleccionamos el punto de interrupción - gt; ejecutar hasta la selección)
4 Si el programa acaba de cargarse, hay una LLAMADA cerca, la seguimos con F7, de lo contrario el programa será fácil de ejecutar.
5. se ejecutará en esta LLAMADA Presione F7 para ingresar.
6 Generalmente, si encuentra un salto grande (salto de segmento cruzado), como jmp XXXXXX o JE XXXXXX o si hay RETN, usted. normalmente llegará rápidamente al OEP del programa.
-----------------
Método 2: método de la ley ESP (ESP y EIP son rojos)
-----------------
Introducción: este método puede eliminar la mayoría de los shells comprimidos y algunos shells cifrados. Es relativamente sencillo de operar. también es relativamente rápido.
1 Haga clic en F8 para bajar desde el principio y preste atención a si el ESP aparece (se vuelve rojo) en el registro en la esquina superior derecha de OD
.2. Desde la línea de comando: dd XXXXXXXX (refiriéndose a la dirección ESP en el código actual, o hr
XXXXXXXX), presione Enter.
3. Seleccione la dirección del siguiente punto de interrupción---gt; acceso al hardware---punto de interrupción WORD.
4. Pulsa F9 para ejecutar el programa e irás directamente al punto de salto. Pulsa F8 y baja hasta llegar al programa OEP.
-----------------
Método 3: Método de duplicación de memoria
------ -----------
Introducción: También es un método de shell relativamente fácil de usar. La mayoría de los shells comprimidos y cifrados se pueden eliminar rápidamente mediante el método de duplicación de memoria. .
1. Abra con OD, configure las opciones - opciones de depuración - excepciones, ignore todas las excepciones (es decir, ignore todas las excepciones internas), luego CTRL F2 para recargar el programa.
2. Presione ALT M para abrir la imagen de la memoria y busque el primer .rsrc del programa. Presione F2 para establecer un punto de interrupción y luego presione SHIFT F9 para ejecutar hasta el punto de interrupción. p>3. Luego presione ALT M nuevamente, abra la imagen de la memoria, busque el .CODE encima del primer .rsrc del programa y presione F2 para establecer un punto de interrupción. Luego presione SHIFT F9 para acceder directamente al programa OEP.
Además: si ve varios códigos PE en el módulo de memoria, establezca un punto de interrupción a partir del código debajo del primer PE, mueva F9, un solo paso, vea la dirección de INC y busque esta dirección. es la entrada del programa. Es posible que no se pueda descifrar porque hay varios PE. Paso a paso hasta que el programa regrese a esta entrada, luego descomprima
-------------. --
Método 4: Un paso hacia la OEP
----------------
Introducción: Este es a Este método inteligente tiene la velocidad de bombardeo más rápida. La premisa es conocer las características de este shell y utilizar la seguridad de este shell para encontrar rápidamente el OEP del programa.
1. Comience a presionar Ctrl F, ingrese: popad, luego presione F2 para romper, presione F9 para correr aquí.
2. y vaya a OEP.
--
Método 5: Explotación de excepciones de memoria (opción: Excepción, desmarque ambas casillas). casillas media e inferior)
--
Después de ejecutar Shift F9 varias veces, recuerde el software que abrió después de ejecutarlo. varias veces
Vuelva a importar, ejecute Shift F9 una vez menos que antes, observe la excepción SE en la esquina inferior derecha de od, escriba la dirección anterior, Ctrl G, ingrese esta dirección
Presione F2 para llegar al punto de interrupción, ejecute Shift F9 aquí, cancele el punto de interrupción y luego realice un solo paso con F7 para rastrear hasta la entrada del oep, LE modifique el tamaño y luego transfiéralo, luego use ImportRE para modificar el OEP y luego importe el archivo. acabas de transferirte.