快速给软件去壳的方法如下:
方法一:使用OD(OllyDbg)进行单步跟踪
载入程序 :使用OD载入待脱壳的程序,并选择“不分析代码”。单步跟踪
按下`F8`键进行单步向下跟踪,实现向下跳转。
当程序跳回(包括循环)时,在回跳的下一句代码处按`F4`键跳过回跳指令。
绿色线条表示跳转未实现,红色线条表示跳转已实现。
找到OEP
如果刚载入程序,在附近有一个`CALL`指令,按`F7`键跟进这个`CALL`内部。
遇到大跳转(如`jmp XXXXXX`、`JE XXXXXX`或有`RET`的指令),一般会很快到达程序的OEP。
处理远跳转
在`POPAD`指令下的远转移指令要小心,因为目的地很可能就是OEP。
方法二:利用ESP定律
初始化ESP
在OD中,观察并记录下程序启动时的ESP值。
设置硬件断点
在命令行下,使用`dd`命令设置ESP的硬件访问断点,例如:`dd 0012FFA4`(指向当前代码中的ESP地址)。
运行程序
按下`F9`运行程序,程序会在断点处暂停。
单步跟踪
按下`F8`继续执行,直接跳转到OEP。
方法三:使用专门的脱壳工具
aspack壳
使用`unaspack`或`caspr`。
`unaspack`适用于早期版本的aspack壳,`caspr`适用于所有版本的aspack壳。
upx壳
使用`upx -d`命令进行脱壳。
PEcompact壳
使用`unpecompact`进行脱壳。
procdump
虽然功能强大,但一般不推荐使用,因为它可能会导致脱壳后的文件变大。
建议
选择合适的工具:
根据不同的壳类型选择合适的脱壳工具,可以提高脱壳的成功率和效率。
多次尝试:不同的程序可能有不同的加壳方式,多次尝试不同的方法可能有助于找到正确的脱壳途径。
学习汇编语言:掌握基本的汇编语言知识可以帮助更好地理解脱壳过程,从而更有效地使用调试工具。