方法

详细过程

单步跟踪法

1.用OD载入，点“不分析代码！”

2.单步向下跟踪F8，实现向下的跳。也就是说向上的跳不让其实现！（通过F4）

3.遇到程序往回跳的（包括循环），我们在下一句代码处按F4（或者右健单击代码，选择断点——>运行到所选）

4.绿色线条表示跳转没实现，不用理会，红色线条表示跳转已经实现！

5.如果刚载入程序，在附近就有一个CALL的，我们就F7跟进去，不然程序很容易跑飞，这样很快就能到程序的OEP

6.在跟踪的时候，如果运行到某个CALL程序就运行的，就在这个CALL中F7进入

7.一般有很大的跳转（大跨段），比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN的一般很快就会到程序的OEP。

备注：在有些壳无法向下跟踪的时候，我们可以在附近找到没有实现的大跳转，右键–>“跟随”,然后F2下断，Shift+F9运行停在“跟随”的位置，再取消断点，继续F8单步跟踪。一般情况下可以轻松到达OEP！

ESP定律法

ESP定理脱壳（ESP在OD的寄存器中，我们只要在命令行下ESP的硬件访问断点，就会一下来到程序的OEP了！）

1.开始就点F8，注意观察OD右上角的寄存器中ESP有没突现（变成红色）。（这只是一般情况下，更确切的说我们选择的ESP值是关键句之后的第一个ESP值）

2.在命令行下：dd
XXXXXXXX(指在当前代码中的ESP地址，或者是hr
XXXXXXXX)，按回车！

3.选中下断的地址，断点—>硬件访—>WORD断点。

4.按一下F9运行程序，直接来到了跳转处，按下F8，到达程序OEP。

内存镜像法

1：用OD打开软件！

2：点击选项——调试选项——异常，把里面的忽略全部√上！CTRL+F2重载下程序！

3：按ALT+M,打开内存镜象，找到程序的第一个.rsrc.按F2下断点，然后按SHIFT+F9运行到断点，接着再按ALT+M,打开内存镜象，找到程序的第一个.rsrc.上面的.CODE（也就是00401000处），按F2下断点！然后按SHIFT+F9（或者是在没异常情况下按F9），直接到达程序OEP！

Popad法

1.开始按Ctrl+F,输入：popad（只适合少数壳，包括UPX，ASPACK壳），然后按下F2，F9运行到此处

2.来到大跳转处，点下F8，到达OEP！

最后一次异常法

1：用OD打开软件

2：点击选项——调试选项——异常，把里面的√全部去掉！CTRL+F2重载下程序

3：一开始程序就是一个跳转，在这里我们按SHIFT+F9，直到程序运行，记下从开始按SHIFT+F9到程序运行的次数m！

4：CTRL+F2重载程序，按SHIFT+F9（这次按的次数为程序运行的次数m-1次）

5：在OD的右下角我们看见有一个“SE
句柄“，这时我们按CTRL+G，输入SE
句柄前的地址！

6：按F2下断点！然后按SHIFT+F9来到断点处！

7：去掉断点，按F8慢慢向下走！

8：到达程序的OEP！

模拟跟踪法

1：先试运行，跟踪一下程序，看有没有SEH暗桩之类

2：ALT+M打开内存镜像，找到（包含=SFX,imports,relocations）

内存镜像，项目
30

地址=0054B000

大小=00002000
(8192.)

Owner=check
00400000

区段=.aspack

包含=SFX,imports,relocations

类型=Imag
01001002

访问=R

初始访问=RWE

3：地址为0054B000，如是我们在命令行输入tc
eip<0054B000,回车，正在跟踪

备注:大家在使用这个方法的时候，要理解他是要在怎么样的情况下才可以使用

“SFX”法

1：设置OD，忽略所有异常，也就是说异常选项卡里面都打上勾

2：切换到SFX选项卡，选择“字节模式跟踪实际入口（速度非常慢）”，确定。

3：重载程序（如果跳出是否“压缩代码？”选择“否”，OD直接到达OEP）

Btw:这种方法不要滥用得好，锻炼能力为妙。

UPX

手动脱壳

单步跟踪法

ESP定律

内存镜像法

Popad法

模拟跟踪法

SFX法

脱壳机

UPXShell

PEID

ASPack

手动脱壳

单步跟踪法

ESP定律法

内存镜像法

模拟跟踪法

SFX法

脱壳机

PEID(PEID
Generic Unpacker)

AspackDie

UnAspack

FSG

手动脱壳

单步法（忽略所有异常）

ESP定律（忽略所有异常）

模拟跟踪法（忽略所有异常）

SFX法

内存镜像法

脱壳机

PEID

UnFSG2.0(只针对FSG2.0有效)

PECompact

手动脱壳

单步法（忽略所有异常）

ESP定律（忽略所有异常）

模拟跟踪法

脱壳机

PEID(PEID
Generic Unpacker)

DePeCompact1.x
DePeCompact2.x DePeCompact3.x DePeCompact2.x-3.x

Armadillo

手动脱壳

见穿山甲脱壳总结

脱壳机

此脱壳机很少，且很难脱干净

Acprotect

手动脱壳

OD异常设置不忽略内存异常，隐藏OD

OD载入程序

F9一下，到最后一次典型异常！

***********************************************

堆栈提示：

0012FF84
0012FFE0 指针到下一个
SEH
记录

0012FF88
00433731 SE 句柄
//右键—转存中跟随—下内存访问断点

***********************************************

下好断点后，Shift+F9运行！

00433731
8B5C24 0C mov ebx,dword ptr ss:[esp+C] //运行到这里，F2下断，Shift+F9运行

00433735
8383 B8000000 02 add dword ptr ds:[ebx+B8],2

0043373C
33C0 xor eax,eax

0043373E
C3 retn

00433781
8B048E mov eax,dword ptr ds:[esi+ecx*4]
//运行到这里，F2下断，Shift+F9运行

00433784
8B5C8E 04 mov ebx,dword ptr ds:[esi+ecx*4+4>

00433788
2BC3 sub eax,ebx

0043378A
C1C8 05 ror eax,5

0043378D
2BC2 sub eax,edx

0043378F
81C2 43A18EAB add edx,AB8EA143

00433795
89048E mov dword ptr ds:[esi+ecx*4],eax //Shift+F9运行后就跳到这里

00433798
49 dec ecx

00433799
^ EB E1 jmp short 123.0043377C

0043379B
61 popad

0043379C
61 popad

0043379D
C3 retn //取消所有的断点[2次F2（INT3断点），1次内存访问断点]，F4下来！

打开内存镜像

在.text段下F2断点地址，Shift+F9运行

备注：真正脱AcProtect的时候以上出现的地址应该都不相同，但是操作流程不变。

脱壳机

ACKiller

ASProtect

手动脱壳

OD载入之后忽略除了内存访问之外的所有异常，隐藏OD！Shift+F9，注意堆栈！

0012FF54
018032F0

0012FF58
01811810 ASCII “6uob9ACQoUA=” //硬盘指纹

当第2次出现硬盘指纹的时候，在00401000下F2断点，Shift+F9！

00480650
55 push ebp

00480651
8BEC mov ebp,esp

00480653
8B45 08 mov eax,dword ptr ss:[ebp+8]

00480656
A3 EC7E4800 mov dword ptr ds:[487EEC],eax
//487EEC就是保存注册名的位置

0048065B
5D pop ebp

0048065C
C2 0400 retn 4

继续Shift+F9运行来到最后一次异常！

01802CD1
3100 xor dword ptr ds:[eax],eax //最后一次异常

01802CD3
64:8F05 0000000>pop dword ptr fs:[0]

01802CDA
58 pop eax

01802CDB
833D 7C6D8001 0>cmp dword ptr ds:[1806D7C],0

01802CE2
74 14 je short 01802CF8

01802CE4
6A 0C push 0C

01802CE6
B9 7C6D8001 mov ecx,1806D7C

01802CEB
8D45 F8 lea eax,dword ptr ss:[ebp-8]

01802CEE
BA 04000000 mov edx,4

01802CF3
E8 54E1FFFF call 01800E4C

01802CF8
FF75 FC push dword ptr ss:[ebp-4]

01802CFB
FF75 F8 push dword ptr ss:[ebp-8]

01802CFE
8B45 F4 mov eax,dword ptr ss:[ebp-C]

01802D01
8338 00 cmp dword ptr ds:[eax],0

01802D04
74 02 je short 01802D08

01802D06
FF30 push dword ptr ds:[eax]

01802D08
FF75 F0 push dword ptr ss:[ebp-10]

01802D0B
FF75 EC push dword ptr ss:[ebp-14]

01802D0E
C3 retn //F2下断，Shift+F9运行，注意堆栈

0012FF5C
018148AC

0012FF60
00400000 ASCII
“MZP”

0012FF64
C9F5F162

0012FF68
0012FFA4 //要的就是0012FF68

hr
0012FF68,F9运行

01815082
03C3 add eax,ebx ; emailcas.00400000 //来到这里，F8

01815084
894424 1C mov dword ptr ss:[esp+1C],eax

01815088
61 popad

01815089
FFE0 jmp eax
//跳到OEP

备注：寻找OEP的过程大致如上所述，当然，破解时地址可能不一致，代码也不会相同

修复IAT,经常需要将无法修复的指针直接cut掉，而且需要将原程序打开，形成新的进程，然后在ImportREC中选择新的进程进行修复。

Asprotect中经常会用到stolen
code技术，所以最后还需要还原被抽取的字节。

脱壳机

AsProtect
Unpack