破解入门（四）-----实战单步跟踪法脱壳

背景

破解的第一步是判断所要破解的程序是否加壳了，如果程序加壳了，需要将壳脱掉再来破解，所以脱壳是破解的第一步

单步跟踪法的步骤

（1）用OD载入，点“不分析代码”

（2）.单步向下跟踪F8，实现向下的跳。也就是说向上的跳不让其实现（通过F4）

（3）遇到程序往回跳的（包括循环），我们在下一句代码处按F4（或者右健单击代码，选择断点——>运行到所选）

（4）绿色线条表示跳转没实现，不用理会，红色线条表示跳转已经实现

（5）如果刚载入程序，在附近就有一个CALL的，我们就F7跟进去，不然程序很容易跑飞，这样很快就能到程序的OEP

（6）在跟踪的时候，如果运行到某个CALL程序就运行的，就在这个CALL中F7进入

（7）一般有很大的跳转（大跨段），比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN 的一般很快就会到程序的OEP

注：在有些壳无法向下跟踪的时候，我们可以在附近找到没有实现的大跳转，右键-->“跟随”,然后F2下断，Shift+F9运行停在“跟随”的位置，再取消断点，继续F8单步跟踪。一般情况下可以轻松到达OEP

实战

1 查壳

用PEID等查壳工具查看所需要破解的程序是否加壳了，加的什么壳。PEID的工作原理大家看看PEID目录下的userdb.txt文件就知道了，PEID通过壳的入口特征码进行辨认程序是加了什么壳

用PEID查壳的结果如下图，可以看出程序加了ASPack2.12的壳

2 寻找OEP

(1)用OD载入该程序

（2）使用F8单步补过，在靠近入口处的第一个call（call 0040D00A）使用F7单步步入，在call子程序中使用F8单步补过，没有发现有用的信息，在靠近入口的第二个call（call 0040D014使用F7单步步入，否则程序会跑飞，下图是刚进入第二个call处的截图

（2）根据"单步跟踪法"中的原则，一步一步调试，遇到向上跳转，则将鼠标点到该跳转的下一行，然后F4运行到这一行（如果让程序向上跳转，则可能程序往反方向跳转，无休无止，也就找不到OEP），向下跳转则不用处理，需要注意的是绿色线条表示跳转没实现，不用理会，红色线条表示跳转已经实现，在下面的注释窗口会有该提示，下图就是一个没有实现的跳转

（2）按照步骤（3）中的方式执行很快就会看到下图现象，出现了popad这条指令，然后 push 004010CC，将004010CC这个地址入栈，后面紧跟着一个retn，程序就会返回到 004010CC这个地址继续执行程序，004010CC与当前地址0040D3BF之间有个很大的跳转，由此可以判断马上将到达程序的OEP，

（2）在retn上在按下F8单步步过即可到达OEP（OEP地址004010CC）

3 脱壳（Dump）

（1）在OEP（OEP地址004010CC）处使用OD插件脱壳，在004010CC上点击鼠标右键，选择该菜单下的Dump debugged process，会弹出如下对话框，从下图最底Rebuild Import选项下可以看出该插件提供了两种脱壳方式

（2）分别用Method1和Method2脱壳，点击Dump按钮然后选择文件的保存位置即可脱壳

（3）当然也可以用LordPE来脱壳，选中要脱壳的进程notepad.exe，因为使用OD加载的时候已经启动该进程

（4）在该进程上右键，选择该菜单下的修正镜像大小，结果如下图

（5）在该进程上右键，选择该菜单下的完整转存（也有的翻译是完全脱壳），会弹出文件保存位置对话框，填好文件名称后保存即可，成功后会弹出如下对话框

（6）再次用PEID检测unpack1.exe、unpack2.exe、unpack3.exe，会发现程序已经是无壳的

（7）分别打开已经脱壳完成的unpack1.exe、unpack2.exe、unpack3.exe，会发现unpack3.exe运行后出现如下错误，则在该种情况下需要修复资源

4 修复

（1）使用到的修复工具是ImportFix，打开ImportFix，打开notepad.exe这个进程，因为用OD载入加壳程序notepad.exe后，会产生notepad.exe这个进程（此时需要OD中将程序调试运行到OEP处，即004010CC处，否则在下面的自动查找IAT会失败）

（2）将OEP那一栏修改成刚才在OD中找到的OEP地址000010CC，然后点击自动查找 IAT，则RVA和大小这一栏中数据会改变

（3）点击确定后，点击获取输入表按钮，结果如下图，其中找到的输入表函数里面的函数是程序运行需要的一些系统API

（4）点击显示无效函数后，发现没有，在点击修复转存文件按钮，选择要修复的unpack3.exe 文件

（5）完成后会在记录这一列表框中显示结果，修复后的文件保存名字为unpack3_.exe

（6）打开unpack3_.exe，发现程序能正常运行，则修复成功

文中用到的加壳程序下载地址：http://download.csdn.net/detail/qiurisuixiang/4363770