话说这个东西是前天拿到的,但是当时在家,东西也不全。平直接感觉是加壳了。去peid官方下载了个没有更新特征库的报了个什么都没发现,晕死。
今天重新查壳发现是Armadillo V6.X Minimum Protection -> Silicon Realms Toolworks * Sign.By.fly * 20081227 *,脱壳后发现程序是用bc++写的:
这个文章网上有的,这里只是做个类似笔记的东西,没别的用处(文章本身就是依样画葫芦。)。
话说这个东西是前天拿到的,但是当时在家,东西也不全。平直接感觉是加壳了。去peid官方下载了个没有更新特征库的报了个什么都没发现,晕死。
今天重新查壳发现是Armadillo V6.X Minimum Protection -> Silicon Realms Toolworks * Sign.By.fly * 20081227 *,脱壳后发现程序是用bc++写的:
这个文章网上有的,这里只是做个类似笔记的东西,没别的用处(文章本身就是依样画葫芦。)。
常见脱壳知识:
1.PUSHAD (压栈) 代表程序的入口点
2.POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个,说明OEP可能就在附近
3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP),
只要我们找到程序真正的OEP,就可以立刻脱壳。
脱壳的几种方法:
方法一:单步跟踪
方法二:ESP定律脱壳
方法三:内存跟踪
方法四:跟踪出口法
方法五:最后一次异常法
方法六:懒人脱壳法