查壳(PEID、FI、PE-SCAN)--->寻找OEP(OD)--->脱壳/Dump(LordPE、PeDumper、OD自带的脱壳插件、PETools)--->修复(Import REConstructor)
【工具介绍】
1、查壳
PEID--功能强大的侦壳工具,自带脱壳插件(但是,效果不怎么样)
工作原理:核心是userdb.txt(大家看看就完全明白了)[通过壳的入口特征码进行辨认]
速达软件加密狗用法如下:1、打开客户端,进入功能导航界面。2、打开Ax自动加密工具。打开加密工具界面后,选择要加密的程序类型,根据开发者软件的特点进行选择。3、选择要加密的文件。选择程序类型进入Ax后,第一栏里选择想要。
使用方法:可以拖放、也可以把PEID添加到右键菜单里面去
FI--功能强大的侦壳工具,DOS界面。
使用方法:可以拖放、可以使用DOS命令行
2、寻找OEP
ollydbg的四个区域
左上角是cpu窗口,分别是地址,机器码,汇编代码,注释;注释添加方便,而且还能即时显示函数的调用结果,加密狗是不是插上就能用,返回值.,
cpu窗口下面还有一个小窗口,显示当前操作改变的寄存器状态.
左下角是内存窗口.可以ascii或者unicode两种方式显示内存信息.
右下角的是当前堆栈情况,还有注释啊.
几个经常使用的快捷键
F2:在需要的地方下断点(INT3型断点)
如果是前台加密狗,前台用户要在前台“下载加密狗驱动程序”处下载加密狗驱动程序,安装完毕,成功登陆后在“安全设置”里点击“绑定加密狗”即可,之后每次登陆都必须使用加密狗。如果是后台加密狗,后台客户需与公司客服人员联。
F3:选择打开程序
F4:运行到所选择的那一行
F7:单步进入
F8:单步跟踪
F9:执行程序(运行程序)
其中要特别讲一下3个F9的区别和作用:
根据Ollydbg.hlp的中文翻译
Ctrl+F9 - 执行直到返回,跟踪程序直到遇到返回,在此期间不进入子函数也不更新CPU数据。因为程序是一条一条命令执行的,所以速度可能会慢一些。按Esc键,可以停止跟踪。
加密狗可以随身携带,简单方便,即插即用,员工和财务只有在授权的情况下才可以登陆系统。给您的财务管理和内部管理带来了可靠和方便。3、加密狗防御外来侵犯 如果您的机器或者局域网不小心中了木马,您的后台帐号就随时可能被。
Alt+F9 - 执行直到返回到用户代码段,跟踪程序直到指令所属于的模块不在系统目录中,在此期间不进入子函数也不更新CPU数据。因为程序是一条一条执行的,所以速度可能会慢一些。按Esc键,可以停止跟踪。
看这些中文介绍大家可能还不是很明白,用我们通俗的语句来说就是:
1、把加密狗插入电脑才能安装软件。2、因此在安装的时候给他加密狗,安装后收回即可。
Ctrl+F9 运行至retn (一般到了retn之后接上F7返回)
Alt+F9 运行至上层调用的下句
Shift+F9 忽略异常运行
文件:
1.其中包括该菜单的下部有上次打开的纪录,该纪录保存有上次未清除的断点.
2.附加.对付那些Anti-Debug程序.先运行程序,再运行od,文件-->附加.
查看:
1.执行模块(Alt+E),查看程序使用的动态链接库
鸿业管立得加密狗使用方法:1、如果是前台加密狗,在收到我公司的加密狗后,前台用户要在前台“下载加密狗驱动程序”处下载加密狗驱动程序。安装完毕,登陆进去后在“安全设置”里点击“绑定加密狗”,这样每次登陆时前台客户都。
2.查看断点.Alt+B
调试:
1.运行(F9)加载程序后,运行!
2.暂停(F12)
3.单步进入(F7)遇见CALL进入!进入该子程序.
4.单步跳过(F8)遇见CALL不进去!
5.执行到返回(ALT+F9)就是执行到该子程的返回语句
查看-->文件
其他的一些具体的大家还是要看看OD的中文帮助的
3、Dump
OD自带的脱壳插件--到达OEP之后右键。。。
LordPE、PeDumper--选择所调试的进程--右键--完整脱壳
4、修复
Import REConstructor 1.6
脱壳后,程序肯定不能正常运行,当然需要这个软件修复下啦~~
5 自校验