吾爱破解 新手脱壳破解常见问题 笔记

吾爱破解 新手脱壳破解常见问题 笔记

转自https://www.52pojie.cn/

新手脱壳破解常见问题几百问 https://www.52pojie.cn/thread-532026-1-1.html (出处: 吾爱破解论坛)

01、我是新入论坛的萌新,求教如何准确识别到底是哪种壳!
解答：

​ 【初学者教程】破解基础知识之认识壳与程序的特征 http://www.52pojie.cn/thread-234739-1-1.html
​ 《吾爱破解培训第一课：破解基础知识之介绍常见工具和壳的特征》，讲师：Hmily，链接：http://www.52pojie.cn/thread-378612-1-1.html

02、为什么我跟着教程脱壳时候来到了Oep(程序入口点),但是不一样!如:【已解决】xiaomo大大破解教程，按照视频，相同操作，结果却不同 http://www.52pojie.cn/thread-530863-1-1.html
解答：遇到这种问题时候，我们只需要在OllyDbg的反汇编窗口内 右键-分析-删除分析

03、使用脱壳插件 进行Dump出现异常， 提示 内存无法读取
解答：不要用WIN7/WIN8或以上系统进行脱壳，换成论坛的xp虚拟机，原因是ASLR基地址随机化，Dump插件获取的地址不对

04、脱壳时候的地址跟视频里的地址不同
解答：不要用WIN7/WIN8或以上系统进行脱壳，换成论坛的xp虚拟机，原因是ASLR基地址随机化导致地址不同

05、使用异常法脱壳勾除忽略异常后为什么Ollydbg无法暂停
解答：Od插件-StrongOD-Options-Skip Some Some Exceptions 选项勾除，再尝试重新启动OD

06、在XP系统上脱完壳可以运行，到Win7/Win8或以上系统上就无法运行
解答：

​ 原因一: IAT未完全修复成功导致,重新修复，不要用脱壳插件，使用LordPE来dump再用ImpREC来修复IAT（不要使用OllyDump来脱壳，老东西bug多，脱完无法运行不计其数）
​ 原因二: 由于ASLR和重定位表的问题，详见 http://www.52pojie.cn/thread-382462-1-1.html

07、脱完壳用Exeinfo PE查壳显示“Unknown Packer-Protector”未知。http://www.52pojie.cn/forum.php?mod=redirect&goto=findpost&ptid=530863&pid=13569609
解答：知道脱完就好了，脱完的vs2008的程序Exenfo PE没能识别出来，但根据它的提示使用它的插件“advance scan”是可以扫描出来的，可以试一下。

08、如何知道是否脱壳成功。
解答：可参考01、简单的说脱完壳后可以正常运行，OEP入口代码为无壳代码特征 ，IAT解密完、资源没有被压缩即可。

09、如何完美脱壳和处理重定位。
解答：转了一些fly的帖子，大家可以参考：
http://www.52pojie.cn/thread-382879-1-1.html
http://www.52pojie.cn/thread-382872-1-1.html
http://www.52pojie.cn/thread-382870-1-1.html

10、关于ximo脱壳教程和论坛虚拟机机中OD使用可能遇到的问题。
解答：OD不要直接在虚拟机的共享文件夹加载文件，请把文件复制到虚拟机磁盘上再进行调试。

11、无法定位程序输入点 NtdllDefWindowProc_A 于动态链接库 user32.dll上
解答：不要用WIN7/WIN8或以上系统进行脱壳，换成论坛的xp虚拟机。

12、用Improtect 修复IAT时候 找不到目标进程
解答：不要用WIN7/WIN8或以上系统进行脱壳，换成论坛的xp虚拟机。 或 http://www.52pojie.cn/thread-542290-1-1.html【win7管理员运行】

13、有的软件载入Ollydbg后，点击单步就卡住
解答：修改od的配置文件Ollydbg.ini，把其中Restore windows的值修改为最小值0或其它。

14、软件载入Ollydbg后与别人停留的地方不一样。
解答：检查Od的配置 选项 > 调试设置 > 事件 > 设置第一次暂停于 > 主模块入口点