脫殼教程是什麼意思?

General 更新 2023年10月15日

OD手動脫殼的一般步驟是那些？

1.首先用查殼軟件，查軟件是什麼殼。查明後，把要脫殼的軟件放入OD中，以壓縮殼為例，F8單步走，只能讓程序往前跳，不能讓程序往後跳，用F2或F4下斷點就可以。當達到OEP後，就可以用PE工具脫殼了。

建議看看三人行以前做的脫殼初中高教程。以前愛國者安全網。

脫殼產生原因？

塗層/基材結合強度不夠；塗層收縮，產生剪切力。

軟件如何脫殼

步驟1 檢測殼

殼的概念：

所謂“殼”就是專門壓縮的工具。

這裡的壓縮並不是我們平時使用的RAR、ZIP這些工具的壓縮，殼的壓縮指的是針對exe、com、和dll等程序文件進行壓縮，在程序中加入一段如同保護層的代碼，使原程序文件代碼失去本來面目，從而保護程序不被非法修改和反編譯，這段如同保護層的代碼，與自然界動植物的殼在功能上有很多相似的地方，所以我們就形象地稱之為程序的殼。

殼的作用：

1.保護程序不被非法修改和反編譯。

2.對程序專門進行壓縮，以減小文件大小，方便傳播和儲存。

殼和壓縮軟件的壓縮的區別是

壓縮軟件只能夠壓縮程序

而經過殼壓縮後的exe、com和dll等程序文件可以跟正常的程序一樣運行

下面來介紹一個檢測殼的軟件

PEID v0.92

這個軟件可以檢測出 450種殼

新版中增加病毒掃描功能，是目前各類查殼工具中，性能最強的。

另外還可識別出EXE文件是用什麼語言編寫的VC++、Delphi、VB或Delphi等。

支持文件夾批量掃描

我們用PEID對easymail.exe進行掃描

找到殼的類型了

UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

說明是UPX的殼

下面進行

步驟2 脫殼

對一個加了殼的程序，去除其中無關的干擾信息和保護限制，把他的殼脫去，解除偽裝，還原軟件本來的面目。這個過程就叫做脫殼。

脫殼成功的標誌

脫殼後的文件正常運行，功能沒有損耗。

還有一般脫殼後的文件長度都會大於原文件的長度。

即使同一個文件，採用不同的脫殼軟件進行脫殼，由於脫殼軟件的機理不通，脫出來的文件大小也不盡相同。

關於脫殼有手動脫殼和自動脫殼

自動脫殼就是用專門的脫殼機脫很簡單按幾下就 OK了

手動脫殼相對自動脫殼需要的技術含量微高這裡不多說了

UPX是一種很老而且強大的殼不過它的脫殼機隨處就能找到

UPX本身程序就可以通過

UPX 文件名－d

來解壓縮不過這些需要的命令符中輸入

優點方便快捷缺點DOS界面

為了讓大家省去麻煩的操作就產生了一種叫 UPX SHELL的外殼軟件

UPX SHELL v3.09

UPX 外殼程序！

目的讓UPX的脫殼加殼傻瓜化

注：如果程序沒有加殼那麼我們就可以省去第二步的脫殼了，直接對軟件進行分析了。

脫完後我們進行

步驟3

運行程序

嘗試註冊

獲取註冊相關信息

通過嘗試註冊我們發現一個關鍵的字符串

“序列號輸入錯誤”

步驟4

反彙編

反彙編一般用到的軟件都是 W32Dasm

W32dasm對於新手易於上手操作簡單

W32Dasm有很多版本這裡我推薦使用 W32Dasm 無極版

我們現在反彙編WebEasyMail的程序文件easymail.exe

然後看看能不能找到剛才的字符串

步驟5

通過eXeScope這個軟件來查看未能在w32dasm中正確顯示的字符串信息

eXeScope v6.50

更改字體，更改菜單，更改對話框的排列，重寫可執行文件的資源，包括(EXE，DLL，OCX）等。是方便強大的漢化工具，可以直接修改用 VC++ 及 DELPHI 編制的程序的資源，包括菜單、對話框、字符串表等

新版可以直接查看加殼文件的資源

我們打開eXeScope

找到如下字串符

122,"序列號輸入錯誤 "

123,"恭喜......

如何用PEID脫殼？ 10分

peid是用來查殼的哦，右下角按鈕點下顯示的是插件列表，其中有一些脫殼的插件，不過只是一些簡單的壓縮殼而已，比如upx等。

如果不會用OD手動脫殼的話，那就找脫殼機吧。

舉個用PEID脫UPX殼的例子：

先載入你的程序，然後點右下角的箭頭按鈕，然後選擇unpacker for UPX，peid就會自動幫你脫了。

用PEID脫殼不推薦。PEID強大的地方在與他的查殼功能和隨時更新它的數據庫。

看很多脫殼教程用od下斷點然後馬上取消，又運行，這樣有什麼意義嗎？

簡單說就是找合適時機

解碼，anti ，iat 等等，對殼功能做相應處理

看來你在依葫蘆畫瓢，學的是魚，而非漁，慢慢倒騰吧，有得搞了。

什麼叫脫殼彈？

詳見穿甲彈

參考資料：www.warstudy.com/...xml#a6

linux裡文件如何進行文件脫殼

linux很少有需要crack的軟件，所以最近總是自娛自樂。自己寫的軟件自己破著玩但是由於都是知道自己的手段，沒有什麼意思。真的希望有高手們寫些crackme for linux 。

最近看了看windows的脫殼大致的理解了脫殼的原理，之前沒有怎麼接觸脫殼，通常只是選擇沒有殼的軟件看看。在linux下的殼沒有找到幾個。只找到了一個upx的殼，在windows下是個弱殼。實際上在linux下面也是弱殼，完全可以使用"upx -d"的命令解決問題。但我總是喜歡自己手動的。呵呵....純屬於自娛自樂。

ok,開始我們的linux的upx的脫殼之旅.........

我在選擇工具的時候花了很多時間，忽然發現GDB在upx面前是那麼的蒼白無力...也終於知道為什麼有人說GDB不適合做逆向了...雖然軟件在調試器裡可以正常於運行，正常下斷。但是根本無法查看反彙編的代碼.......。

無奈無奈....使用傳說中最好的工具 IDA 為此我特地簡單的學習了一下IDC腳本的使用方法...

沒有什麼資料可以參考，是一件很不愉快的事情，因為不知道能不能成功。不管了，一步一步來吧...

我用“upx －d“ 脫出了原來的文件，發現文件是全的，沒有任何部分丟失，所以我相信這些文件會出現在進程空間的某個時間的某個角落，這個很大的堅定了我手動脫殼的信心（但是實際上到這篇文章的結尾我也沒有能夠在找到完整的程序文件，但我相信理論上內存空間中應該會出現完整的文件的...）。

我的加殼軟件是我上次文章中用到做外掛的mines（掃雷遊戲）。先找到了upx-3.03-i386_linux 軟件附件中我會給出的免的度這篇文章的人去尋找了。

對我們目標軟件加殼，命令如下，的確是個好用的壓縮殼軟件，直接有54％的壓縮律。

代碼:

[jun@beijihuCom dumpupx]$Content$nbsp;./upx mines

Ultimate Packer for eXecutables

UPX 3.03 Markus Oberhumer, Laszlo Molnar & John Reiser Apr 27th 2008

File size Ratio Format Name

-------------------- ------ ----------- -----------

13960 -> 7556 54.13% linux/elf386 mines

Packed 1 file.

[jun@beijihuCom dumpupx]$Content$nbsp;

好了，我們開始調試他了，加了殼以後，一般的調試軟件已經對他無能為力了...

實驗一下GDB 和 DDD 的效果...以及objdump

readelf還可以正常使用，（僅限於一部分功能.呵呵，不詳談了...）

代碼:

[jun@beijihuCom dumpupx]$Content$nbsp;readelf -e ./mines

ELF Header:

Magic: 7f 45 4c 46 01 01 01 03 00 00 00 00 00 00 00 00

Class: EL......

全龜脫殼雀在後是什麼意思

意思就是說要時時注意警惕，不要放鬆警惕

如何實現upx的脫殼（請詳細說明步驟和軟件）?

1,命令行一定要準確.其實你可以安裝一個DosHere的註冊表文件讓文件夾支持直接進入cmd.或者Win+r輸入cmd然後輸入路徑進到需要操作的文件夾然後施工,這樣不容易錯.

2,你可以選擇用UPX Shell這個外殼工具,很方便處理文件,在opt常on->Advanced第二項打挑可以讓程序文件支持右鍵UpX轉換.

3,UPX可以選擇文件加密的,加密後的不可以直接脫殼,這是最重的重點.UpxShell中同樣option-advan....裡面第一項就是,另外加密也分多種,每種也有設置不同,脫殼並不是好玩的,確切說不可能"手把手教會".你要學習PE格式以及彙編等一系列的非常熬人的東西,之後還要憑運氣和天賦.

4,顯示UPX加殼,未必只是一個殼,有時可以重疊加幾次殼(其他加密工具),這還不包括程序本身對自身的檢測(脫殼看似成功,但之後不能運行)

路迢迢........

UPolyX v0.5 怎麼脫從那入手：脫殼教程

還遺憾告訴你你那個不是UPolyX v0.5 的壓縮殼