常见几种软件脱壳方法

一、概论

壳出于程序作者想对程序资源压缩、注册保护的目的，把壳分为压缩壳和加密壳(强壳)两种
"upx"  "aspcak"  "telock"  "pelite"  "nspack(北斗)" ...
"armadillo" "asprotect"  "acprotect" "epe(王)" "svkp" ...

顾名思义，压缩壳只是为了减小程序体积对资源进行压缩，加密壳是程序输入表等等进行加密保护。
当然加密壳的保护能力要强得多！

二、工具的认识

ollydbg  ring3 shell层 级别的动态编译工具 、
peid、
importrec、
lordpe、
softice ring0级别调试工具

三、常见手动脱壳方法

预备知识

1.pushad （入栈/压栈） 代表程序的入口点,
2.popad   （弹栈/出栈） 代表程序的出口点，与pushad想对应，一般找到这个oep就在附近
3.oep：程序的入口点，软件加壳就是隐藏了oep（或者用了假的oep/foep），只要我们找到程序真正的oep，就可以立刻脱壳。

方法一：单步跟踪法

1.用od载入，点“不分析代码！”
2.单步向下跟踪f8，实现向下的跳。也就是说向上的跳不让其实现！（通过f4）
3.遇到程序往回跳的（包括循环），我们在下一句代码处按f4（或者右健单击代码，选择断点——>运行到所选）
4.绿色线条表示跳转没实现，不用理会，红色线条表示跳转已经实现！
5.如果刚载入程序，在附近就有一个call的，我们就f7跟进去，不然程序很容易跑飞，这样很快就能到程序的oep
6.在跟踪的时候，如果运行到某个call程序就运行的，就在这个call中f7进入
7.一般有很大的跳转（大跨段），比如 jmp xxxxxx 或者 je xxxxxx 或者有retn的一般很快就会到程序的oep。
近call f7 远call f8
btw:在有些壳无法向下跟踪的时候，我们可以在附近找到没有实现的大跳转，右键-->“跟随”,然后f2下断，shift+f9运行停在“跟随”的位置，再取消断点，继续f8单步跟踪。一般情况下可以轻松到达oep！

方法二：esp定律法

esp定理脱壳（esp在od的寄存器中，我们只要在命令行下esp的硬件访问断点，就会一下来到程序的oep了！）
1.开始就点f8，注意观察od右上角的寄存器中esp有没突现（变成红色）。（这只是一般情况下，更确切的说我们选择的esp值是关键句之后的第一个esp值）
2.在命令行下：dd xxxxxxxx(指在当前代码中的esp地址，或者是hr xxxxxxxx)，按回车！
3.选中下断的地址，断点--->硬件访--->word断点。
4.按一下f9运行程序，接着删除硬件访问断点 直接来到了跳转处，按下f8，到达程序oep。

方法三：两次内存镜像法

1：用od打开软件！
2：点击选项——调试选项——异常，把里面的忽略全部√上！ctrl+f2重载下程序！
3：按alt+m,打开内存镜象，找到程序的第一个.rsrc 资源.按f2下断点，然后按shift+f9运行到断点，接着再按alt+m,打开内存镜象，找到程序的第一个.rsrc.上面的.code（也就是 00401000处），按f2下断点！然后按shift+f9（或者是在没异常情况下按f9），直接到达程序oep！

方法四：一步到达oep

1.开始按ctrl+f,输入：popad（只适合少数壳，包括upx，aspack壳），然后按下f2，f9运行到此处
2.来到大跳转处，点下f8，到达oep！

方法五：最后一次异常法
1：用od打开软件
2：点击选项——调试选项——异常，把里面的√全部去掉！ctrl+f2重载下程序
3：一开始程序就是一个跳转，在这里我们按shift+f9，直到程序运行，记下从开始按shift+f9到程序运行的次数m！
4：ctrl+f2重载程序，按shift+f9（这次按的次数为程序运行的次数m-1次）
5：在od的右下角我们看见有一个"se 句柄"，这时我们按ctrl+g，输入se 句柄前的地址！
6：按f2下断点！然后按shift+f9来到断点处！
7：去掉断点，按f8慢慢向下走！
8：到达程序的oep！

方法六：模拟跟踪法

1：先试运行，跟踪一下程序，看有没有seh暗桩之类
2：alt+m打开内存镜像，找到（包含=sfx,imports,relocations）
内存镜像，项目 30
地址=0054b000
大小=00002000 (8192.)
owner=check    00400000
区段=.aspack
包含=sfx,imports,relocations
类型=imag 01001002
访问=r
初始访问=rwe
3：地址为0054b000，如是我们在命令行输入tc eip<0054b000,回车，正在跟踪ing。。

btw:大家在使用这个方法的时候，要理解他是要在怎么样的情况下才可以使用

软件破解常用汇编指令  

    cmp    a,b      //  比较a与b
    mov    a,b     //  把b值送给a值，使a=b
    ret           //  返回主程序
    nop  //无作用，英文（no operation）简写,意思“do nothing”（机器码90）
  （ultraedit打开编辑exe文件看到90相当汇编语句的nop）

   call              //  调用子程序，子程序以ret结尾
   je或jz            //  相等则跳（机器码是74或84）
   jne或jnz              //   不相等则跳（机器码是75或85）
   jmp               //  无条件跳（机器码是eb）
   jb             //  若小于则跳
   ja             //  若大于则跳
   jg             //  若大于则跳
   jge            //  若大于等于则跳
   jl             //  若小于则跳
   pop xxx        //  xxx出栈
   push xxx       //  xxx压栈

jmp ;无条件跳转 指哪飞哪 一些杂志中说的直飞光明顶，指的就是它了~光明顶一般指爆破地址根据条件跳转的指令:

je　　 ;等于则跳转　
jne　 ;不等于则跳转　
jz　　;为　0　则跳转
jnz　 ;不为　0　则跳转　
js　　;为负则跳转　
jns　 ;不为负则跳转　
jc　  ;进位则跳转　
jnc　 ;不进位则跳转
jo　　;溢出则跳转
jno　 ;不溢出则跳转　
ja　　 ;无符号大于则跳转　
jna　 ;无符号不大于则跳转　
jae　  ;无符号大于等于则跳转　
jnae　;无符号不大于等于则跳转　
jg　　 ;有符号大于则跳转　
jng　 ;有符号不大于则跳转　
jge　  ;有符号大于等于则跳转
jnge　;有符号不大于等于则跳转　
jb　　 ;无符号小于则跳转　
jnb　 ;无符号不小于则跳转　
jbe　  ;无符号小于等于则跳转　
jnbe　;无符号不小于等于则跳转　
jl　　 ;有符号小于则跳转　
jnl　 ;有符号不小于则跳转　
jle　  ;有符号小于等于则跳转
jnle　;有符号不小于等于则跳转
jp　　;奇偶位置位则跳转　
jnp　 ;奇偶位清除则跳转　
jpe　 ;奇偶位相等则跳转　
jpo　;奇偶位不等则跳转
我们实际用到的最常用的只有 jmp、 je、 jne、 jz 、jnz 而已 所以只要清楚这5个跳转的条件即可，别的那些了解下就好了 

下面开始说传递跟比较指令：

传递指令：
mov
比较指令：
cmp
例：
mov eax,1
mov ecx，eax
cmp ecx，eax   //这个就是标志位
我们已知eax跟ecx都是1

那就符合je的跳转条件

以上就是常见几种软件脱壳方法的详细内容，更多关于软件脱壳的资料请关注其它相关文章！