Cómo descomprimir un programa
Su pregunta es demasiado general. De hecho, el desgranado durante el craqueo es un proceso muy complicado. Algunos shells son fáciles de eliminar. También puede encontrar las máquinas de desgranado correspondientes en Internet. es necesario. Creo que desempaquetar también puede convertirse en un tema complejo. Después de todo, para descomprimirlo, debes aprender a desempaquetar. He visto muchos artículos y videos sobre desempaquetar antes, pero como mis habilidades de programación no son muy buenas, siempre lo hago. Parece engañoso Un día vi un video y finalmente tuve una idea de cómo escapar. Deja tu dirección de correo electrónico y te la puedo enviar, o puedes agregar mi número 240410420. El texto del tutorial de este video es el siguiente. :
Resumen de varios métodos de bombardeo
1. Conceptos básicos del conocimiento básico del bombardeo
1.PUSHAD: (empujar en la pila) representa el punto de entrada del programa
2.POPAD: (pop) representa el punto de salida del programa, correspondiente a PUSHAD Ver esto significa que es casi OEP.
3.OEP: El. punto de entrada del programa, que es el empaquetador de software Ocultar OEP Y lo descomprimimos solo para encontrar OEP.
2. >
Las siguientes dos condiciones están cerca de OEP* **Mismo fenómeno:
Si ocurre la siguiente situación, significa que OEP está a punto de llegar:
1. se encuentra durante el seguimiento de OD:
popad
popad
p>popfd
o
popad
2 Al mismo tiempo, inmediatamente después, hay otras instrucciones de salto como retn, jmp, etc., y se produce un salto de segmento cruzado Cuando.
Indica que OEP está a punto. para llegar.
3. Elementos esenciales que se deben recordar para bombardear
1. Avanza en un paso, no dejes que el programa suba. Cuando encuentres un salto hacia arriba, presiona F4. en la siguiente frase para correr a la seleccionada.
2. Cuando el programa se acaba de cargar y se realiza una llamada cerca, presionamos F7 para seguir.
3. Si ejecute un determinado programa de llamada durante el seguimiento, use F7 para ingresar esta llamada
4. Durante el seguimiento, aparece jmp XXXXXX o JE XXXXXX, o RETN ocurre al mismo tiempo en segmentos grandes. que llegará pronto a OEP.
IV.Resumen de los métodos de bombardeo más utilizados
----------------- -
Método 1: método de seguimiento de un solo paso
------------------
Introducción: esto es el método más común. Este método se usa básicamente para shells desconocidos. El proceso de este método es más problemático. Debe seguir y analizar paso a paso y tener cierta paciencia.
1. OD para cargar, seleccione "No analizar el código"
2. Rastreo hacia abajo de un solo paso y presione F8 para realizar el salto hacia abajo. No permita que el programa retroceda.
3. Cuando nos encontramos con el programa, para retroceder (incluidos los bucles), presionamos F4 en la siguiente línea de código (o hacemos clic derecho en el código y seleccionamos el punto de interrupción -> Ejecutar al seleccionado)
4. el programa acaba de cargarse. Hay una CALL cerca, por lo que podemos seguirla con F7; de lo contrario, el programa será fácil de ejecutar.
5. se ejecutará en esta LLAMADA F7 para ingresar.
6 Generalmente, si encuentra un salto grande (salto de tramo), como jmp XXXXXX o JE XXXXXX o si hay RETN, generalmente llegará. Próximamente la OEP del programa.
-----------------
Método 2: método de la ley ESP (ESP y EIP son rojos)
-----------------
Introducción: este método puede eliminar la mayoría de los shells comprimidos y algunos shells cifrados. Es relativamente sencillo de operar y eliminar. shell La velocidad también es relativamente rápida.
1. Haga clic en F8 para bajar desde el principio y preste atención a si el ESP aparece (se vuelve rojo) en el registro en la esquina superior derecha de OD.
2. Desde la línea de comando: dd XXXXXXXX (refiriéndose a la dirección ESP en el código actual, o hr
XXXXXXXX), presione Enter.
3. Seleccione la dirección a interrumpir, Punto de interrupción ---> Acceso al hardware ---> Punto de interrupción WORD.
4. Pulsa F9 para ejecutar el programa e irás directamente al punto de salto. Pulsa F8 y baja hasta llegar al programa OEP.
-----------------
Método tres: método de duplicación de memoria
------ -----------
Introducción: También es un método de shell relativamente fácil de usar. La mayoría de los shells comprimidos y cifrados se pueden eliminar rápidamente mediante el método de duplicación de memoria. .
1. Abra con OD, configure opciones - opciones de depuración - excepciones, ignore todas las excepciones (es decir, ignore todas las excepciones), luego CTRL+F2 para recargar el programa.
2. Presione ALT+M para abrir la imagen de memoria y busque el primer .rsrc del programa. Presione F2 para establecer un punto de interrupción y luego presione SHIFT+F9 para ejecutar hasta el punto de interrupción. >
3. Luego presione ALT+M nuevamente para abrir la imagen de la memoria, busque el .CODE encima del primer .rsrc del programa y presione F2 para establecer un punto de interrupción. Luego presione SHIFT+F9 para acceder directamente al programa OEP.
Además: si ve varios códigos PE en el módulo de memoria, establezca un punto de interrupción a partir del código debajo del primer PE, mayús+F9, paso único, consulte la dirección de INC y busque esta dirección. Generalmente , es la entrada del programa. Es posible que no se descifre porque hay varios PE. Paso a paso hasta que el programa regrese a esta entrada, luego descomprima
-----------. -- ---
Método 4: Un paso hacia la OEP
----------------
Introducción : Este es un método inteligente, la velocidad de bombardeo más rápida, la premisa es conocer las características de este shell y usar la seguridad de este shell para encontrar rápidamente el OEP del programa. Este método solo se usa para unos pocos shells. /p>
1. Comience a presionar Ctrl+F, ingrese: popad, luego presione F2 para romper, presione F9 para ejecutar aquí.
2. para bajar. Ven a OEP.
--
Método 5: Usar excepciones de memoria (opción--Excepciones, marque tanto el medio como el inferior Quitar)
shift+F9 Después de ejecutarlo varias veces, recuerde el software lo abriste después de ejecutarlo varias veces
Reimportar, shift+F9, ejecutarlo una vez menos que antes, observar la excepción SE en la esquina inferior derecha de od, escribir la dirección anterior, ctrl+G , ingrese esta dirección
F2 al punto de interrupción, cambie Ejecutar +F9 aquí, cancele el punto de interrupción y luego realice un solo paso con F7 para rastrear hasta la entrada de oep, modifica el tamaño y luego lo descarga. modifique el OEP y luego importe el archivo que acaba de descargar.