1、upx的壳,官网地址https://upx.github.io/
这种壳很常见,应该是技术已经很纯熟了,加壳、脱壳利用官网发布的工具可以轻松实现。
程序参数如下:
试验一下:
加壳:(如果程序已经加过upx的,工具发现后会提示已经加过壳,不再二次加壳)
脱壳:(如果程序没有加过upx壳,工具会提示,不会进行脱壳)
2、MPRESS壳,官网地址http://www.matcode.com/mpress.htm
这种壳官网提供的程序只有加壳功能,不具备脱壳功能,不过可以使用OD+esp定律轻松脱壳
一:执行过pushad,数据窗口中找到esp地址的值,该值处下硬件访问断点(读断点)
二、F9运行至上面下的断点,如果遇到jmp指令就一直F8步过,直到遇到程序真正的入口
三、插件--->OllyDump--->脱壳在当前调试的进程,点击脱壳(面板中的数字不懂含义的话,尽量不要修改),给脱壳后的程序选一个保存位置、选个新名字就完成脱壳了。
参考地址: