您的位置：首页 > 其它

破解入门（四）-----实战"单步跟踪法"脱壳

2012-06-10 10:15 204 查看

背景

破解的第一步是判断所要破解的程序是否加壳了，如果程序加壳了，需要将壳脱掉再来破解，所以脱壳是破解的第一步

单步跟踪法的步骤

（1）用OD载入，点“不分析代码”

（2）.单步向下跟踪F8，实现向下的跳。也就是说向上的跳不让其实现（通过F4）

（3）遇到程序往回跳的（包括循环），我们在下一句代码处按F4（或者右健单击代码，选择断点——>运行到所选）

（4）绿色线条表示跳转没实现，不用理会，红色线条表示跳转已经实现

（5）如果刚载入程序，在附近就有一个CALL的，我们就F7跟进去，不然程序很容易跑
飞，这样很快就能到程序的OEP

（6）在跟踪的时候，如果运行到某个CALL程序就运行的，就在这个CALL中F7进入

（7）一般有很大的跳转（大跨段），比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN
的一般很快就会到程序的OEP

注：在有些壳无法向下跟踪的时候，我们可以在附近找到没有实现的大跳转，右键-->“跟随”,然后F2下断，Shift+F9运行停在“跟随”的位置，再取消断点，继续F8单步跟踪。一般情况下可以轻松到达OEP

实战

1 查壳

用PEID等查壳工具查看所需要破解的程序是否加壳了，加的什么壳。PEID的工作原理大家看看PEID目录下的userdb.txt文件就知道了，PEID通过壳的入口特征码进行辨认程序是加了什么壳

用PEID查壳的结果如下图，可以看出程序加了ASPack2.12的壳

2 寻找OEP

(1)用OD载入该程序

（2）使用F8单步补过，在靠近入口处的第一个call（call 0040D00A）使用F7单步步入，
在call子程序中使用F8单步补过，没有发现有用的信息，在靠近入口的第二个call（call
0040D014使用F7单步步入，否则程序会跑飞，下图是刚进入第二个call处的截图

（2）根据"单步跟踪法"中的原则，一步一步调试，遇到向上跳转，则将鼠标点到该跳转的下一行，然后F4运行到这一行（如果让程序向上跳转，则可能程序往反方向跳转，无休无止，也就找不到OEP），向下跳转则不用处理，需要注意的是绿色线条表示跳转没实现，不用理会，红色线条表示跳转已经实现，在下面的注释窗口会有该提示，下图就是一个没有实现的跳转

（2）按照步骤（3）中的方式执行很快就会看到下图现象，出现了popad这条指令，然后 push 004010CC，将004010CC这个地址入栈，后面紧跟着一个retn，程序就会返回到
004010CC这个地址继续执行程序，004010CC与当前地址0040D3BF之间有个很大的跳转，由此可以判断马上将到达程序的OEP，