普通壳的脱壳方法和脱壳技巧
稻谷脱壳简易方法
稻谷脱壳简易方法
稻谷脱壳是农作物收获后的一项重要工作,但传统的脱壳方法需要大量的人力和时间,效率低下。
本文介绍一种简易的稻谷脱壳方法,可以快速、高效地完成脱壳工作。
1. 准备工作
首先需要准备好一个大桶和一把铁锤。
桶的大小要能够容纳一定数量的稻谷,但也不能太大,否则会增加脱壳难度。
铁锤要选择较重的,以便用力打击稻谷。
2. 把稻谷装入桶中
将稻谷倒入桶中,不要装得太满,留下一些空间以便稻谷在脱壳时有足够的空间。
桶的底部可以放一块布或者塑料膜,以防止稻谷直接接触到桶的底部。
3. 将铁锤用力敲打
用铁锤在桶上猛击,让稻谷在桶内不断翻滚和撞击,从而实现脱壳的效果。
一般需要敲打5-10分钟左右,具体时间取决于稻谷的品种和数量。
4. 筛选和清洗稻谷
完成脱壳后,将稻谷倒入筛子中,筛选出杂质和残留的壳粒。
然后用水清洗稻谷,去除表面的污垢和细小的杂质,最后晾干即可。
通过上述方法进行稻谷脱壳,既省时省力,又能保证脱壳质量,是一种较为实用的脱壳方法。
- 1 -。
(完整版)常见几种脱壳方法
----------------<小A分>----------------一、概论壳出于程序作者想对程序资源压缩、注册保护的目的,把壳分为压缩壳和加密壳(强壳)两种"UPX" "ASPCAK" "TELOCK" "PELITE" "NSPACK(北斗)" ... "ARMADILLO" "ASPROTECT" "ACPROTECT" "EPE(王)" "SVKP" ...顾名思义,压缩壳只是为了减小程序体积对资源进行压缩,加密壳是程序输入表等等进行加密保护。
当然加密壳的保护能力要强得多!-----------<小A分割线>-------------二、工具的认识OllyDBG ring3 shell层级别的动态编译工具、PEid、ImportREC、LordPE、softIce ring0级别调试工具-------------<小A分割>-------------------三、常见手动脱壳方法预备知识1.PUSHAD (入栈/压栈)代表程序的入口点,2.POPAD (弹栈/出栈)代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP/FOEP),只要我们找到程序真正的OEP,就可以立刻脱壳。
------------<小A分割线>--------------------方法一:单步跟踪法1.用OD载入,点“不分析代码!”2.单步向下跟踪F8,实现向下的跳。
也就是说向上的跳不让其实现!(通过F4)3.遇到程序往回跳的(包括循环),我们在下一句代码处按F4(或者右健单击代码,选择断点——>运行到所选)4.绿色线条表示跳转没实现,不用理会,红色线条表示跳转已经实现!5.如果刚载入程序,在附近就有一个CALL的,我们就F7跟进去,不然程序很容易跑飞,这样很快就能到程序的OEP6.在跟踪的时候,如果运行到某个CALL程序就运行的,就在这个CALL中F7进入7.一般有很大的跳转(大跨段),比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN 的一般很快就会到程序的OEP。
13个剥皮小妙招
13个剥皮小妙招
1.用水煮软:将要剥皮的水果或蔬菜放入沸水中煮几分钟,然后迅速放入冷水中浸泡,皮就会容易剥离。
2. 切成块:将水果或蔬菜切成小块,然后用刀切下皮部分,最后再将块剥离。
3. 冷冻:将水果或蔬菜放入冰箱冷冻室冷冻几小时,然后拿出来稍微解冻,皮就会很容易剥离。
4. 刮掉:用刀背或勺子背部将水果或蔬菜表面轻轻刮一下,剥皮会变得更加容易。
5. 用刷子刷:用硬质的刷子轻轻地在水果或蔬菜表面刷一下,皮就会很容易剥离。
6. 用削皮器:使用削皮器来剥皮,这是最简单、最直接的方法。
7. 用手轻轻揭掉:有些水果或蔬菜的皮很容易揭掉,只需要用手轻轻揭掉即可。
8. 用切肉刀:在水果或蔬菜的底部用切肉刀切一小片,然后用手揭掉。
9. 用香蕉剥器:对于香蕉等弯曲的水果,可以使用专用的香蕉剥器来剥皮。
10. 用剪刀:对于一些小的水果或蔬菜,如蒜瓣、葱段等,可以使用剪刀来剥皮。
11. 用罐子:将要剥皮的水果或蔬菜放进罐子里,然后晃动几下,皮就会更容易剥离。
12. 用牙签:用牙签在水果或蔬菜表面轻轻地划几下,皮就会变得更加容易剥离。
13. 用微波炉:将水果或蔬菜放入微波炉加热几秒钟,皮就会变得更加容易剥离。
脱壳或去皮的方法
脱壳或去皮的方法一、脱壳常用的脱壳有碾搓法、撞击法、剪切法及挤压法外,剥壳方法还有摩擦法。
值得注意的是,任何剥壳机往往是一种剥壳方法为主而几种剥壳方法为辅的综合作用的结果。
摩擦法:利用摩擦形成的剪切力使皮壳沿其断裂而产生撕裂破坏,除下的皮壳整齐,便于选除,适用于韧性皮壳。
前述的脱壳法都是利用机械对农作物籽粒产生机械力的作用而实现脱壳的,以下是非机械式的脱壳方法。
能量法:利用籽粒在一个特殊环境中经受一定时间的高温高压作用,使得大量热量或气体聚集于籽粒壳内,并使籽粒内外达到气压平衡,然后让籽粒瞬间脱离高温高压环境,此时,聚集在籽粒壳与仁间的压力瞬时爆破,从而实现脱壳目的。
真空法:利用壳内外产生的压力差进行脱壳。
它与能量法脱壳的不同之处在于它不是使气体进入籽粒壳内,而是在一定的范围内,在真空泵的抽吸作用下使壳外压力降低,壳内部处于相对较高压力状态,当压力差达到一定数值时,使外壳爆裂。
一般采用单真空源与多个装料爆壳室相结合的配置。
微波爆壳法:利用电磁场的作用力对籽粒进行破壳。
当微波作用于需脱壳的籽粒时,籽仁内水分子在交变电磁场的作用下将电磁能转化为热能。
这种转变使籽仁在短时间内具有很高的能量,并迅速向外扩散,水分也沿着能量传递的方向迅速外迁,籽仁组织内部的部分结合水分转变为自由水分汽化逸出,导致籽仁失水而收缩。
汽化逸出的自由水分以一定的压力作用于外壳,破坏了籽仁与外壳的贴合。
同时,外壳在微波的作用下,组织内结合水分减少使纤维组织韧性下降、强度降低。
由于籽仁与外壳在微波作用下的变形不一致,导致籽仁与外壳的分离,使脱壳成为可能。
二、去皮用于去除果蔬表皮的去皮机,按去皮对象可分为:1.块状根茎类原料去皮机;2.果蔬去皮机。
除常用的机械去皮和化学去皮还有一些其他方法。
蒸汽加热去皮法:用于马铃薯、胡萝卜等块状茎类作物去皮前表面爆裂处理作业,特别适合外形凹凸不平且不规则的物料去皮。
辐射去皮:利用辐射波被物料表皮的水分吸收、蒸发、使入射的辐射波被物料表皮的水分吸收、蒸发、使入射的辐射波刚进入受热体浅表层即引起强烈的共振。
压缩壳和低强度加密壳的脱壳小结及简易脱壳法
Microsoft Visual C++ 6.0 :55 8B EC 6A
Microsoft Visual C++ 6.0 [Overlay] E语言:55 8B EC 6A
OEP内存断点法具体操作步骤如下:
1、PEiD侦测壳的种类和OEP(壳的种类未知也可以的,但OEP必须要能够侦测到)
2、ollydbg载入目标程序,停在壳的入口
3、数据窗口Ctrl+G,填入PEiD侦测到OEP,确定
4、在数据窗口OEP处设置内存访问断点,F9运行
5、观察内存数据窗口OEP处数据变化
三、OEP内存断点万能脱壳法的简化变形
了解了OEP内存断点万能脱壳法脱壳机理以后,对于一些压缩壳这种方法还可以进行简化,对于压缩壳OEP处的代码在未解压前是不会被执行的,只有在解压完全之后才会被执行,(加密壳不一定是这样的,因为在OEP处的代码可能被壳的代码替换,是有可能被执行到的,执行的目的是解密原程序。)基于这样的理解,我们可以直接在在数据窗口OEP处设置硬件执行断点,当OEP处代码被执行时进行中断,而这时也正好是我们脱壳的最佳时机。
cmp $RESULT,400000
jb message
cmp $RESULT,400000
ja bT, "x"
run
bphwc $RESULT
jmp end
message:
msg "OEP VA Is False! Please Enter True OEP VA!"
Author: sxssl
花生脱壳简易方法
花生脱壳简易方法
1花生脱壳简易方法
花生脱壳既可以费时间又容易出错,但有一些小窍门可以快速而简单地完成这项工作。
以下就是一些简易的花生脱壳方法。
1.搓法
将花生放入搓麻袋中,用手搓.搓的力度越用力越好,花生脆皮就会被搓开,果仁自然就掉出来了,然后轻轻的手捻捻果仁外壳就可以把壳去掉。
2.撞击法
将花生放入纱布袋中,用锤子轻轻的撞击,果仁便会自然掉出,然后把外壳拨开收集起来。
3.热水法
将花生放入沸水中,用勺子稍加搅动,等水温降至温热后就可以把花生取出,外壳会自然开裂,果仁便容易收集出来了。
4.烤土司法
将花生抹上牛奶,撒上白糖,放于烤箱中以180℃烤15分钟,可令壳脆化,拿出后,果仁壳就会被破碎,这时只要把壳拨走即可。
以上就是花生脱壳的4种简易方法,只要根据自己的喜好选择上述方法任意一种,就可以轻松脱去花生的壳,享受香甜的果仁之乐。
普通壳的脱壳方法和脱壳技巧
普通壳的脱壳方法和脱壳技巧脱壳是指将普通壳(通常指硬壳类)从内部原材料中取出的过程。
这个过程既需要一定的方法,也需要一些技巧。
下面我将详细介绍普通壳的脱壳方法和技巧。
脱壳主要分为以下几个步骤:准备工作、撬开壳体、去除壳体和整理内部原材料。
首先,准备工作是非常重要的。
需要准备好必要的工具,例如锤子、螺丝刀、剪刀、塑料袋等,以及切割和清洁壳体的材料,如剪刀、刀片、洗涤剂等。
接下来,需要撬开壳体。
首先,要检查壳体是否有任何阻挡物,如胶水、胶带或其他附着物。
如果有,需要小心地切除或剥离它们。
然后,可以用螺丝刀或剪刀等工具轻轻撬开壳体的缝隙,逐渐将缝隙扩大,直到可以插入手指或其他工具。
使用锤子轻轻敲击壳体,有时会使壳体裂开,从而更容易打开。
脱壳之后,要去除壳体。
根据壳体的类型和材料,不同的方法和技巧可以选择。
例如,对于较薄的塑料壳体,可以用手指轻松地撕裂或剥离。
对于较厚的金属壳体,可能需要使用剪刀或刀片进行切割。
切割时要小心不要损坏内部的原材料,以及不要让手指受伤。
最后,需要整理内部原材料。
脱壳后,可能会有一些残留的胶水、胶带或其他附着物,需要用洗涤剂和水或其他清洁剂擦拭清除。
同时,还要注意保持内部原材料的完整和安全。
如果壳体中还有其他零部件或线路,要小心保护它们,以免损坏。
在脱壳的过程中,还有一些技巧可以使用。
首先,要注意避免使用过大的力量,以免损坏壳体或内部原材料。
其次,可以选择从壳体的较薄、较弱的部位开始撬开,比如角落或接缝处,这样更容易开启壳体。
另外,使用锤子时,要轻轻敲击,以避免壳体破裂或内部原材料受损。
最后,选择适当的工具非常重要。
根据壳体的类型和特性,选择合适的工具可以更有效地完成脱壳过程。
总的来说,普通壳的脱壳方法和技巧在于准备工作的细致、撬开壳体的谨慎、去除壳体的适当、整理内部原材料的细致和使用合适的工具等。
希望以上的介绍对您有所帮助!。
普通壳的脱壳方法和脱壳技巧
普通壳的脱壳方法和脱壳技巧脱壳是指将一个已经打包的可执行文件(通常是二进制文件)恢复为原始的、可以读取和修改的形式。
这在软件逆向工程、安全审计和病毒分析等领域都是非常常见的操作。
下面我将为你介绍普通壳的脱壳方法和脱壳技巧。
一、普通壳的脱壳方法1.静态脱壳静态脱壳是指对目标文件进行分析,找到壳的解密和载入代码,然后将其解密出来,恢复原始的可执行文件。
- 调试器脱壳:使用调试器(如OllyDbg、IDA Pro等)来单步执行目标程序,找到壳的解密代码,并通过调试器的内存分析功能来寻找待解密的数据。
一旦找到解密的算法和密钥,就可以将目标文件完全解密出来。
- 静态分析脱壳:通过静态分析工具(如IDA Pro、Hopper等)来逆向目标文件,找到壳的解密算法和密钥,然后将其解密出来。
2.动态脱壳动态脱壳是指在目标程序运行时,通过对程序的运行过程进行监控和分析,找到壳的解密和载入代码,并将其解密出来,恢复原始的可执行文件。
-API钩取脱壳:通过使用一个DLL注入到目标程序的地址空间中,然后使用API钩子来监控API函数的调用,找到壳解密代码的入口点。
一旦找到壳解密代码的起始地址,就可以通过调试器执行目标程序,并在合适的时机将解密出来的代码或数据导出。
- 内存转储脱壳:通过在目标程序的执行过程中,使用内存转储工具(如winhex、ollydump等)将目标程序的内存转储出来,然后使用静态脱壳的方法对内存转储文件进行分析。
二、普通壳的脱壳技巧1.加载器分析在进行脱壳之前,首先要分析目标文件中的加载器。
加载器是壳程序的一部分,用于解压和载入真正的可执行文件。
通过分析加载器,可以确定载入代码和解密算法的位置,并推导出解密算法的密钥。
2.寻找壳代码的入口点在进行脱壳时,需要找到壳代码的入口点,即壳程序开始执行的位置。
可以通过调试器或者静态分析工具来寻找入口点,并标记下来以备后续使用。
3.内存和断点设置通过内存和断点设置,在目标程序运行过程中定位到关键的内存位置。
浅谈ASPROTECT脱壳
1. 一般的壳,没有Stolen Code的情况ASProtect 1.2 / 1.2c-> Alexey SolodovnikovASProtect 1.23 RC1 -> Alexey SolodovnikovASProtect 2.3 SKE build 06.26 Beta [Extract]对于这些壳一般脱壳方法:忽略除了内存访问之外的所有异常,直接Shift+F9运行。
运行到最后一次异常后,打开内存镜像,来到00401000处,F2断点,F9中断,到达OEP注意:判断最后一次异常的方法:注意堆栈,从硬盘指纹出现,直到没有了硬盘指纹后,那么就是最后一次异常保存注册名:一般的话,当出现硬盘指纹第二次后,打开内存,00401000处,F2断点,此时中断下来的地方,对应的move语句里面的就是保存的注册名的地方2. 有Stolen Code的情况下ASProtect 1.23 RC4 - 1.3.08.24 [1]方法一:忽略除了内存访问的所有异常,开始Shift+F9运行。
当出现硬盘指纹的第二次的时候,打开内存,00401000处,F2断点,F9中断下来!那么此时的mov语句里面的值对应的就是保存“注册名”的地方!此时继续,来到最后一次异常!在下面的第一个retn处,F2断点,F9中断下来!此时,注意堆栈:ASCII码的第二行所对应的地址,形如:0012FF60 00400000 crysb.004000000012FF64 574F42C80012FF68 0012FFA4 //这里的地址 0012FF68此时命令行下:hr 0012FF68 F9运行,中断下来后!取消硬件断点,F7跟进一下此时F8单步一下,这个对应的内存地址就是以壳解壳的区域,此时我们可以做的1.以壳解壳:到达上面的一步,此时Lord—PE脱壳,首先是完整脱壳,接着是区域脱壳区域脱壳的地址要包含我们此时到达对应的内存地址接着就是利用PE编辑器载入完整脱壳的程序,选择最后一个区段,从磁盘载入刚才区域脱壳的文件,载入完成后,修改VA和区段名VA=区域脱壳的地址减去基址接着就是重建PE上述完成后,此时就是修复的工作此时用AsprDBGr.exe 载入加壳程序,找到OEP地址,REC修复的时候选择最上面一个进程,此时填入OEP,IAT自动搜索后,修复了IAT后,此时不要抓取修复把OEP地址改成区域脱壳到达的地址,此时抓取修复!此时OD打开现在抓取修复好了的文件!刚才记录的保存注册名的地方,命令行下DD 注册名地址,在下面找一个全0的区域,二进制编辑写入自己的注册名,记下这个内存地址。
剥花生壳最轻松的方法
剥花生壳最轻松的方法
剥花生壳是一件让人头疼的事情,尤其是对于那些不太喜欢吃
花生但又被迫剥花生壳的人来说,更是一种折磨。
但是,只要掌握
了一些小技巧,剥花生壳其实并不那么困难。
下面,我将分享一些
最轻松的方法,让你轻松愉快地剥花生壳。
首先,你可以选择用指甲剪。
将花生壳的顶部剪掉,然后用指
甲剪在壳的边缘处剪开一小口,再用手指轻轻一捏,壳就会裂开,
然后就可以轻松地剥开了。
这种方法不仅简单快捷,而且可以避免
弄脏手指。
其次,你也可以选择用指甲刀。
将花生壳的顶部剪掉,然后用
指甲刀在壳的边缘处轻轻一划,壳就会裂开,然后就可以轻松地剥
开了。
这种方法比用指甲剪更加精细,适合那些追求完美的人。
另外,你还可以选择用牙签。
将花生壳的顶部剪掉,然后用牙
签在壳的边缘处轻轻一戳,壳就会裂开,然后就可以轻松地剥开了。
这种方法对手指的要求不高,适合那些手指力气不够的人。
除了以上几种方法,还有一种更加简单的方法,就是用手掰。
将花生壳的顶部剪掉,然后用手轻轻一掰,壳就会裂开,然后就可
以轻松地剥开了。
这种方法不需要任何工具,非常方便。
总的来说,剥花生壳并不是一件难事,只要掌握了正确的方法,就可以轻松愉快地完成。
希望以上分享的方法能够帮助到你,让你
在剥花生壳的过程中更加轻松愉快。
祝你剥花生壳成功!。
壳加壳脱壳介绍壳的一些基本常识
壳加壳脱壳介绍壳的一些基本常识壳(Shell)是计算机操作系统的一种用户接口,它提供了用户与操作系统内核之间的交互方式。
它是用户与操作系统之间的纽带,使用户能够通过命令、脚本等方式与操作系统进行交互。
加壳(Packaging)指的是给软件程序添加额外的代码,以便增加安全性、保护程序免受非法分析和篡改。
加壳技术可以对软件进行加密,防止逆向工程和盗版,同时还可以实现防病毒和反调试的功能。
脱壳(Unpacking)是指将被加壳的软件程序恢复为原始的可执行文件。
通常情况下,脱壳是为了分析软件的结构和行为,或者绕过加壳的保护机制进行非法操作。
下面是一些基本的壳常识:1. 壳的种类:常见的壳包括命令行壳和图形用户界面壳。
命令行壳(例如Bash、PowerShell等)提供了一个命令行界面,用户可以通过输入命令来与操作系统进行交互。
图形用户界面壳(例如Windows的资源管理器、macOS的Finder等)提供了可视化的界面,用户可以通过鼠标点击和拖放来进行操作。
2.壳的功能:壳作为用户接口,提供了很多功能,例如操作文件和文件夹、运行程序、管理系统设置等。
它还可以提供脚本语言的支持,使用户可以通过编写脚本来自动化任务和定制操作。
3.壳的配置和定制:壳通常可以进行配置和定制,用户可以根据自己的需求设置壳的外观和行为。
例如,可以更改壳的主题、布局和颜色,添加自定义菜单和工具栏,设置快捷键等。
4. 壳脚本:壳脚本是一种用于定制壳行为的脚本语言。
例如,在Bash中,用户可以编写Shell脚本来自动执行一系列命令和操作。
壳脚本可以用于自动化任务、批处理、系统管理等方面。
5.加壳的原因和目的:加壳可以增加软件的安全性,保护知识产权和商业机密。
它可以防止软件被逆向工程,避免黑客和破解者篡改程序逻辑或者盗版软件。
加壳还可以实现软件的防病毒功能,使病毒难以对软件进行分析和感染。
6.加壳的原理和技术:加壳通常通过改变软件的结构和代码来实现。
去壳的步骤 六
去壳的步骤六如何将EXE安装文件脱壳和破解--之解决办法步骤1 检测壳壳的概念:所谓“壳”就是专门压缩的工具。
这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩,壳的压缩指的是针对exe、com、和dll等程序文件进行压缩,在程序中加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非法修改和反编译,这段如同保护层的代码,与自然界动植物的壳在功能上有很多相似的地方,所以我们就形象地称之为程序的壳。
壳的作用:1.保护程序不被非法修改和反编译。
2.对程序专门进行压缩,以减小文件大小,方便传播和储存。
壳和压缩软件的压缩的区别是压缩软件只能够压缩程序而经过壳压缩后的exe、com和dll等程序文件可以跟正常的程序一样运行下面来介绍一个检测壳的软件PEID v0.92这个软件可以检测出450种壳新版中增加病毒扫描功能,是目前各类查壳工具中,性能最强的。
另外还可识别出EXE文件是用什么语言编写的VC++、Delphi、VB或Delphi 等。
支持文件夹批量扫描我们用PEID对easymail.exe进行扫描找到壳的类型了UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo说明是UPX的壳下面进行步骤2 脱壳对一个加了壳的程序,去除其中无关的干扰信息和保护限制,把他的壳脱去,解除伪装,还原软件本来的面目。
这个过程就叫做脱壳。
脱壳成功的标志脱壳后的文件正常运行,功能没有损耗。
还有一般脱壳后的文件长度都会大于原文件的长度。
即使同一个文件,采用不同的脱壳软件进行脱壳,由于脱壳软件的机理不通,脱出来的文件大小也不尽相同。
关于脱壳有手动脱壳和自动脱壳自动脱壳就是用专门的脱壳机脱很简单按几下就OK了手动脱壳相对自动脱壳需要的技术含量微高这里不多说了UPX是一种很老而且强大的壳不过它的脱壳机随处就能找到UPX本身程序就可以通过UPX 文件名-d来解压缩不过这些需要的命令符中输入优点方便快捷缺点DOS界面为了让大家省去麻烦的操作就产生了一种叫UPX SHELL的外壳软件UPX SHELL v3.09UPX 外壳程序!目的让UPX的脱壳加壳傻瓜化注:如果程序没有加壳那么我们就可以省去第二步的脱壳了,直接对软件进行分析了。
脱壳方法
手脱AHpack 0.1 -> FEUERRADER
建议不要单步跟踪 使用ESP定律能更快到达OEP SFX方法也可以 不过效率就 呵呵~
/*
Script written by VolX
Script : Aspr2.XX_unpacker
版本 : v1.0SC
日期 : 15-Jan-2007
调试环境 : OllyDbg 1.1, ODBGScript 1.47, WINXP, WIN2000
调试选项 : 设置 OllyDbg 忽略所有异常选项
看EP区段 显示 .!ep
突然发现peid 查壳很一般了 越来越不能相信它了
下面是我的脱壳手记:
用OD载入:
程序入口: 看壳的入口,好像是!EP(EXE Pack)1.4的,就暂且相信它吧
004B3000 > F8 clc
004B3001 57 push edi
004B301A 0BDB or ebx, ebx
004B301C 40 inc eax
004B301D 48 dec eax
004B301E 84D2 test dl, dl
软件名:锐速简历通
开始以为一次ESP定律就可以解决了,一看,OD断下来的时候和刚加载的一样,我马上想到是不是自己操作失误了?本来还想自嘲一下说老马失蹄,但是查看断点,这个软件唯一有点意思的地方是作者使用了两次一样的壳(不知道为什么,老觉得软件作者很会开玩笑),所以再使用一次ESP定律直接到达OEP dump 之后直接能使用 不用import修复
壳的工作原理及手动脱壳的方法
壳的工作原理及手动脱壳的方法)1)Entry Point(入口点)PE格式的可执行文件的执行时的入口点,即是PE格式中的Entry Point。
用PEditor或者LordPE之类的PE查看工具看看NotePad.exe,你就会看到Entry Point的值。
也就是说NotePad.exe在执行时的第一行代码的地址应该就是这个值。
(当然应该加上基地址)2)Section(节区)PE格式文件是按节区进行规划组织的,不同的节区一般保存的数据的作用也不相同。
通常使用缺省方式编译的程序文件,有CODE/DATA/TLS/.text/.data/.tls/.rsrc/.rdata/.edata/.reloc等不同的名称,有的用于保存程序代码,如CODE和.text节区,有的用于保存程序中的变量的,如DATA/.data节区,有的保存重定位信息,如.reloc,有的用于保存资源数据,如.rsrc。
等等等等,当然这是缺省情况下编译器产生的结构。
而节区名称和节区中的数据其实没有必然的联系,节区中保存的数据也没有什么硬性的限制。
所以你可以在编译时用开关参数改变这些情况。
3)ImageBase(基地址)不仅程序文件按节区规划,而且程序文件在运行时Windows系统也是按节区加载的。
那么每一块的节区的顺序如何?起始的地址是什么呢?这就由基地址决定。
在程序的文件头部保存了每个节区的描述信息,比如有前面提到的节区名称,还有节区的大小,以及节区的相对虚拟地址(RVA)。
如果我们把节区的相对虚拟地址(RVA)加上基地址(ImageBase)就可以知道节区在内存中的虚拟地址(VA)了。
Windows系统就是按照这个要求来加载各个节区的。
这样Windows系统依次把各个节区放到了它相应的虚拟地址空间。
所以如果我们把相对虚拟地址(RVA)看成是坐标的偏移量的话,那么ImageBase就是原点了。
有了这个原点,一切都简单了。
好了有了简要的介绍,我们来看看壳的加载过程吧。
轻松剥壳的技巧
轻松剥壳的技巧如下:
1. **沿着纹理用钢丝球慢慢擦**:果蔬的表面有一层光滑的果蔬皮,如果直接剥壳,容易剥伤。
顺着果蔬的纹理,用硬质的东西慢慢擦洗,可以轻松去除果蔬皮,而且不伤果蔬本身。
2. **利用勺子剥壳**:对于一些硬质的果蔬,可以先用刀在果蔬的一端轻轻地划一个口子,然后拿一个铁勺子将果蔬皮沿着划开的口字向外推移,就能轻松地将果蔬皮全部移除。
这种方法适用于番茄、土豆等果蔬的剥壳。
3. **将果蔬在热水中泡一会儿**:果蔬表面有一层果蔬皮,如果在热水的环境下,果蔬皮就会变得非常软。
这时候就可以用刀将果蔬切开两半,然后用勺子轻轻地将皮去除。
这个方法也适用于番茄、土豆等果蔬的剥壳。
4. **使用高压锅盖边缘**:高压锅盖的边缘也是非常坚硬的,而且高压锅盖里面的胶圈也会粘附着一些果蔬皮。
使用高压锅盖边缘来剥壳,不仅可以快速地剥去果蔬皮,还可以将果蔬清洗得非常干净。
最后提醒一下,由于每种果蔬的特性不同,有部分水果直接剥皮可能会有细菌等脏物留在上面,为避免食用后引发肠胃不适,最好将水果切开再清洗一遍。
尽量选用以上方法的其中一个使用无刀口的器具操作以防在表面划痕多留农药,而且一定注意安全,使用完毕及时清理工具和果蔬皮的残留物,做到不污染食物环境卫生。
希望能对您有所帮助!。
去壳剥皮的小妙招
去壳剥皮的小妙招1、巧剥红枣皮:把干枣放人水中浸泡3小时后,放人锅中煮沸,等大枣完全泡开发胀后,再捞起来剥应就容易了。
2、巧去土豆皮:土豆皮很难削,但是它皮薄,可在水龙头下一边淋水,一边用洗涤用钢丝球擦,很快就可以擦去土豆皮。
3、巧去蚕豆壳将干蚕豆放入陶瓷或搪瓷器皿内,加入适量的碱,倒上开水闷一分钟,即可将蚕豆皮剥去,但去皮的蚕豆要用水冲除其碱味。
4、巧去蛋壳:将煮熟的蛋立即放人少量凉开水中,冷却后用手搓几下,壳就去除了;松花蛋只需将蛋的大头剥去泥和壳,再往小的-头敲一个小孔,然后用嘴往小孔内吹气,整个不碎的蛋会自然脱落。
5、巧剥柚子皮:剥柚子应之前,先把柚子在桌子上揉,揉好以后,把柚子从中间切开。
由于袖子揉过之后肉和果皮连接的纤维给破坏了,所只要一剜就剜出来了。
如果只吃了一半想保存另一半,只要把刚才剥下的完整的柚子皮扣在剩下的半个柚子上就行了。
6、巧去桃子皮将桃子浸人滚开的水中1分钟,再浸入冷水中,取出用手很容易剥去皮。
7、巧剥栗子皮:在栗子的凹面中心点的位置上,用拇指横向捏一下,上面就会有一个小小的口,两手在口的两侧上下用力,这个外壳就打开了一些。
外壳去了,现在就该去里面的硬皮了,把剥好壳的栗子放进这个碗中,倒人开水和盐,盖盖焖5分钟,打开之后应就好剥了。
其中原理就是栗子的果仁和果应之间有纤维连接,中间空隙很小,只有离子物质才能进人,将它们分离开。
而清水中离子物质微乎其微,而盐可以完全溶于水,它的构成成分钠离子和氯离子能够进人果仁和果肉之间把它们分开。
1)热水浸泡法:生栗子洗净后放人器皿中,加精盐少许,用滚沸的开水浸没,盖锅盖。
5分钟后,取出栗子切开,栗皮应即随栗子壳一起脱落,此法去除栗子皮,省时、省力。
2)筷子搅拌法:将栗子一切两瓣,去壳后放人盆内,加开水浸泡一会儿后,用筷子搅拌,栗子的皮就会与粟肉脱离。
浸泡时间不能过长,否则将会影响栗子营养成分。
3)冰箱冷冻法:栗子煮熟后将其冷却后放人冰箱内冷冻两小时,可使壳肉分离。
剥壳去皮有绝招
・!"・
顿 & 指在总量控制下,分餐次数多, 克,甘油三酯下降 ,-. 毫克。对糖
")* $ %)* 克,相当于主食 + $ # 两, 施。当然,配餐时可再用适量烹调
பைடு நூலகம்衣 食 住 行
人们在日常生活中所吃的各 种食物,有许多是要剥了皮才好 吃,但在剥皮问题上常会碰到剥 皮难的事。这里向大家介绍十种 食物的剥皮小窍门,会帮助你解 决剥皮难的麻烦, 不妨一试。 一是桃子。用盐水把桃浸泡
去壳后放在盆内, 加开水浸泡后用筷子搅拌几下, 栗壳 就会脱落, 但浸泡时间不宜过长, 以免失去营养。 放在 七是大枣。 把干大枣放在水中浸泡 % 小时后, 锅中煮沸, 等大枣完全泡开后发胖了, 再捞起来剥皮就 容易了。 八是干蚕豆。把干蚕豆放在面盆里,加入适量的 碱, 倒上开水焖几分钟, 即可将蚕豆皮剥下, 但其豆瓣 要用水冲一下, 以除去碱味。 九是黑枣。在煮黑枣时, 可在锅中加适量的灯草, 枣皮就能自动松开, 煮熟后只要用手指一按, 枣皮就能 脱落。 十是蛋壳。 将烧好的蛋放在有盖的锅中, 盖上盖后 用力摇撞几下, 使蛋壳完全破裂, 然后, 用冷水冲一下, (李正飞 ) 就可很快把蛋壳剥掉。
!"#$%&’#()#*"# ! 社会长郎
!""#$ %
的是,我国膳食中普遍缺乏胡萝卜 素。 & 绿 ’ 指绿茶及深绿色蔬菜。饮 料以茶最好, 茶以绿茶为佳。 据中国 预防医学科学院研究,绿茶具有明 确的抗肿瘤、 抗感染作用。 & 白 ’ 指燕麦粉或燕麦片。北京 心肺研究中心证实,每日服燕麦片 )* 克,平均血胆固醇下降 %-. 毫 尿病患者效果更显著。 & 黑 ’ 指黑木耳。 研究表明, 每日 吃黑木耳 ) $ () 克,能显著降低血 粘度与血胆固醇含量,有助于预防 血栓形成。
(完整版)常见几种脱壳方法(可编辑修改word版)
----------------<小 A 分>----------------一、概论壳出于程序作者想对程序资源压缩、注册保护的目的,把壳分为压缩壳和加密壳(强壳)两种"UPX" "ASPCAK" "TELOCK" "PELITE" "NSPACK(北斗)" ... "ARMADILLO" "ASPROTECT" "ACPROTECT" "EPE(王)" "SVKP" ...顾名思义,压缩壳只是为了减小程序体积对资源进行压缩,加密壳是程序输入表等等进行加密保护。
当然加密壳的保护能力要强得多!-----------<小 A 分割线>-------------二、工具的认识OllyDBG ring3 shell 层级别的动态编译工具、PEid、ImportREC、LordPE、softIce ring0 级别调试工具-------------<小 A 分割>-------------------三、常见手动脱壳方法预备知识1.P USHAD (入栈/压栈)代表程序的入口点,2.P OPAD (弹栈/出栈)代表程序的出口点,与 PUSHAD 想对应,一般找到这个OEP 就在附近3.O EP:程序的入口点,软件加壳就是隐藏了 OEP(或者用了假的 OEP/FOEP),只要我们找到程序真正的 OEP,就可以立刻脱壳。
------------<小 A 分割线>--------------------方法一:单步跟踪法1.用OD 载入,点“不分析代码!”2.单步向下跟踪 F8,实现向下的跳。
也就是说向上的跳不让其实现!(通过F4)3.遇到程序往回跳的(包括循环),我们在下一句代码处按 F4(或者右健单击代码,选择断点——>运行到所选)4.绿色线条表示跳转没实现,不用理会,红色线条表示跳转已经实现!5.如果刚载入程序,在附近就有一个 CALL 的,我们就 F7 跟进去,不然程序很容易跑飞,这样很快就能到程序的 OEP6.在跟踪的时候,如果运行到某个 CALL 程序就运行的,就在这个 CALL 中F7 进入7.一般有很大的跳转(大跨段),比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN 的一般很快就会到程序的 OEP。
如何快速剥壳的技巧
快速剥壳的技巧如下:
1. 剥虾壳:剥虾壳时,可以先抓住虾头,轻轻扯下虾壳,同时用一只手托住虾身,以防虾肉弄碎。
剥到虾尾时,要特别小心,不要把虾肉扯断。
扯断或剩余的虾壳会很容易剥掉。
2. 剥板栗壳:剥板栗壳时,可以先用刀在板栗上划一个十字,然后放入沸水中煮或烫,这样更容易剥去外皮。
捞出板栗后,用手指甲慢慢剥开内皮。
如果想快速一点,可以借助剪刀,但要注意安全。
3. 剥核桃壳:将核桃放入开水中浸泡,过几分钟后,可以轻易地剥开核桃壳。
4. 剥玉米粒:将玉米放入冰箱冷冻室中冰冻一会儿,这样玉米粒更易剥下。
或者将玉米放入沸水中煮一会儿,待玉米皮变热后,即可较轻易地剥下外皮。
请注意,以上技巧仅供参考,使用剪刀时请务必小心,避免割伤。
同时,不同食物的剥壳方法可能因个人习惯和喜好而异,上述技巧仅供参考,具体方法还需根据实际情况调整。
以上就是快速剥壳的一些技巧,希望对您有所帮助。
在操作过程中一定要确保自身安全,避免因不正确的操作导致手部划伤等危险情况。
如果您还有其他问题,欢迎随时向我提问。
如何剥板栗壳快的方法
如何剥板栗壳快的方法剥板栗壳是一个耗时且费力的任务。
然而,有一些技巧可以帮助您更快速地剥板栗壳。
在本篇回答中,我将分享一些快速剥板栗壳的方法,并详细解释每个步骤。
请注意,这些方法可能对不同的板栗品种和成熟度有所差异,所以请根据实际情况做出调整。
1. 选择合适的板栗选择成熟度适中的板栗是快速剥壳的关键。
一般来说,成熟的板栗壳较干燥,容易剥离。
您可以通过观察板栗的外表来判断成熟度。
成熟的板栗壳通常呈棕色,表面光滑,没有明显的裂纹。
此外,轻轻捏住板栗,成熟的板栗应该感觉坚实而有弹性。
2. 准备切口在剥板栗壳之前,您需要准备一个切口,以便让蒸汽在板栗中循环,并帮助剥离壳。
使用尖锐的刀或小刀,在刚刚接触板栗壳的一侧轻轻切一小口。
注意不要切太深,以免切到板栗内部。
3. 蒸汽板栗将准备好的板栗放入蒸锅中,用大火蒸10至15分钟。
这个时间可以使板栗的壳变得更加干燥,从而更容易剥离。
蒸煮的时间可能因板栗的大小和种类而有所不同,建议您根据个人经验进行调整。
4. 用毛巾包裹板栗将蒸好的板栗立刻拿出来,用一块干净的毛巾包裹住。
这个步骤旨在保持板栗的温度,并帮助蒸汽进一步渗透到壳内,使剥离更加容易。
将板栗在毛巾中包裹数分钟。
5. 用湿毛巾擦拭在步骤四之后,将板栗从毛巾中拿出来。
然后,用一块湿毛巾擦拭板栗壳的表面。
湿毛巾有助于软化壳,使其更容易剥离。
确保毛巾湿润但不会滴水。
6.利用重力剥离将板栗放在一个平坦的表面上,用手指轻轻按住板栗,让板栗与表面紧密接触。
然后,用另一只手抓住板栗的顶部,顺势向外扭转。
通过这个动作,重力会帮助壳与内部板栗分离。
如果板栗的壳比较干燥,可能需要施加一些额外的力量。
重复这个步骤,直到剥离完所有的板栗。
7. 检查板栗剥离壳后,请检查板栗的外观和质量。
如果发现壳还有残留物,或者板栗上有明显的损伤,请使用小刀或削板栗壳的器具进行修复。
不要削得太深,以免损坏板栗内部。
同时,检查板栗的质量和味道是否符合要求。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
最关键的地方到了:用 LordPE 这个软件自带的重建 PE 修复功能;重建PE头,重建后,即可运行!
第三节 手脱 UPX 壳的捷径
用我们已开始提到的”关键提示“。
具体操作:OD载入程序后,直接Ctrl+F,输入 POPAD ;点确定后 来到这个命令所在的位置。按F2,在这个地方下断;再按F9(运行);停止后,按F2取消刚才下的断点。再F8单步!
=================================================================================================
第二部分,需要注意的几处重点
=================================================================================================
第三部分,笔记正文----这篇文章的骨干部分!
首先,先对下文中将要讲到的几个地方做一下说明,避免一些刚接触脱壳的:
1.PUSHAD (压栈) 代表程序的入口点
2.POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个,说明OEP可能就在附近
第八节 手脱 Exestealth 2.72 的壳
看到这或许大家会沉迷与ESP定律当中,在这里提醒大家:Exestealth 2.72 的壳 用我们一开始提到的”懒方法脱壳“是最简单的;具体步骤,可以参考文章第二部分。
第九节 手脱nspack(北斗)1.3 的壳
方法三:内存跟踪:
1:用OD打开软件!
2:点击选项——调试选项——异常,把里面的忽略全部勾上,CTRL+F2重新加载程序
3:按ALT+M,打开内存镜象,找到第一个.rsrc.按F2下断点,然后按SHIFT+F9运行到断点,接着再按ALT+M, 打开内存镜象,找到.RSRC上面的CODE,按F2下断点,然后按S 手脱wwpack 的壳
这个壳跟上面说的 EZIP 1.0 的壳一样,OD脱壳 ImportREC 进行修复 程序还是无法运行。所以还是要用 LordPE 进行脱壳工作。
具体步骤 : 从 LordPE 列表中选中目标程序的进程→点”鼠标右键“ 选择”完整脱壳“。最后用 ImportREC 进行修复 。发现还是不能运行!
停止后按 一下 F8(单步);再按一下 F7(跟进) 观看这看不懂?没关系,要是我,我也看不懂,所以我早有准备;详细步骤,如下(这是某程序的一部分):
程序中断后来到这里:
1、ESP定律,命令:hr ESP地址 【脱壳后程序不能正常运行】
2、用 ImportREC 这个工具进行修复,修复后程序正常运行。
第十节 另类方法脱 ASPack 2.12R 壳的技巧
Ctrl+S 搜索:retn 0C【retn和零C 中间有个空格】 找到后向下看,如下:
2、设置:”调试选项“→”SFX“→”字节模式跟踪实际入口(速度非常慢)“
3、载入相关程序。 //当载入后的程序停止后,所停址的那个地址就是我们Dunp加壳文件的那个地址
Hr命令:”hr“下的是字节断点。用ESP脱壳时,多数都是用的这个。
ESP脱壳时,对于有关键提示的(如:Pushw 或 Pushad ),一般选择关键提示下面那行地址中的ESP。
懒方法脱壳,这种方法对压缩壳有效;对加密壳作用不大。
“懒方法脱壳“在已开始的设置时需要注意(简化的设置步骤,详细的在文章最下面):
1、首先,要忽略所有异常 //忽略所有异常——这个是必须的
脱壳的几种方法 详细操作步骤
常见脱壳知识:
1.PUSHAD (压栈) 代表程序的入口点
第七节 手脱 PEDiminisher ;Dxpack 0.86 ;32lite 0.03a ;PEtite 2.2 这几种壳的简单方法
脱PEDiminisher ;Dxpack 0.86 ;这两种壳的时候,直接用之前讲到的ESP定律,即可完美脱壳。命令:【hr ESP地址】
达程序OEP,脱壳
第五节 用 内存镜像法 手脱FSG 1.33 和 PCshrink 的壳
1、忽略所有异常
2、Alt+M 打开内存镜像,找到第一个 ”.rsrc“
3、F2(下断),F9(运行)
4、Alt+M 打开内存镜像,找到”Code“段;
5、F2(下断),Shift+F9【这点一定要记住,切记是 Shift+F9】运行;
retn 0C
push 0 //在 retn 0C 的下面
retn //在这个地方按 F2(下断) ;F9(运行)
0046B3C0 C3 retn //F7(跟进) 步入到OEP
注意:这种壳ESP不能直接脱。
=================================================================================================================
第四节 手脱 ASPCK 的壳
脱这个壳用ESP定律,还是相对快捷的。可以用载入程序后,第二行(是一个CALL)那里面的ESP。 //多数程序这个壳的第二行都是一个CALL
在左OD左下角的命令行中,输入命令:hr ESP地址(如 hr 0012FFA4);F9 运行。然后从OD”调试菜单“中的”硬件断点“这一项将刚才下的断点删除,这点很重要!最后F8单步!
7.一般有很大的跳转,比如 jmp XXXXXX 或者 je XXXXXX 或者有RETE的一般很快就会到程序的OEP。
我们看看能不能运行,可以运行,是Microsoft Visual Basic 5.0 / 6.0的程序
下面我们看第二种方法
方法二:ESP定律脱壳(ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了)
1.用Od载入后就按F8,注意观察OD右上角的寄存器中ESP有没出现
2.在命令行下:dd 0012FFA4(0012FFA4指在当前代码中的ESP地址),按回车!
3.选种下断的地址,下硬件访问WORD断点。
4.按一下F9运行程序,直接来到了跳转处,按下F8,到达程序OEP,脱壳
可以运行,说明我们脱壳成功,下面看第三种方法
6、先按F8,再按下F4,直接到达OEP
第六节 手脱 JDpack 壳 和 PEpack 1.0 的壳 最简单的方法
脱这个壳推荐使用内存镜像法;
我在用ESP脱壳的时候发现:ESP定律的速度和单步跟踪的速度差不多,所以在这里就不推荐了。相反,脱 PEpack 1.0 壳 的时候,用ESP定律是最快捷的方法。
2.POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个,说明OEP可能就在附近
3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP),
只要我们找到程序真正的OEP,就可以立刻脱壳。
方法一:单步跟踪
1.用OD载入,不分析代码!
2.单步向下跟踪F8,是向下跳的让它实现
0046B3B8 C2 oc00 retn 0C //开始F8(单步)
0046B3B9 68 64584500 push registra.00455864 //这里调用来自 00455864 (OEP)
3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP),
只要我们找到程序真正的OEP,就可以立刻脱壳。
脱壳的几种方法:
方法一:单步跟踪
方法二:ESP定律脱壳
方法三:内存跟踪
方法四:跟踪出口法
方法五:最后一次异常法
方法六:懒人脱壳法
上面这些方法具体的操作我会在最后,在文章的最下面给出。想要具体了解的可以去看下,不过最后再看这个也是可以的。可以节省大家的时间。
用ESP脱 32lite 0.03a 后 要注意的是,需要用 ImportREC 这个工具进行修复。如:00410D50 在输入框中输入 10D50 就可以了 【004舍去】
在用ESP定律脱 PEtite 2.2 的时候,推荐选择 Pushad 下面那行地址中的 ESP
普通壳的脱壳方法和脱壳技巧.txt
普通壳的脱壳方法和脱壳技巧,叫新手少走弯路!
普通壳的脱壳方法和脱壳技巧,叫新手少走弯路
这篇文章,是我在之前在自学脱壳的时候,在笔记本是所做的脱壳总结;里面包括了各种壳的脱壳方法,最重要的是注释了什么壳用什么方法脱是最省时省力的
方法。毕竟是一篇笔记,所以在顺序是或许会有些杂乱无章的感觉。还是请刚接触脱壳的朋友们将就一下,一个一个字的把它从笔记本是移到电脑上也不容易。
第一节 手脱EZIP 1.0 的壳
因为这个壳会修改PE头 用OD脱壳后即使修复了也不能运行。所以最简单的方法是采用 LordPE 这个工具脱壳。具体步骤:
首先,运行目标软件程序(不是用OD,而是想像平时使用一样,双击打开)→从 LordPE 列表中选中目标程序的进程→点”鼠标右键“ 选择”完整脱壳“。最后用 ImportREC 进行修复。
3.遇到程序往回跳的(包括循环),我们在下一句代码处按F4(或者右健单击代码,选择断点——运行到所选)
4.绿色线条表示跳转没实现,不用理会,红色线条表示跳转已经实现!
5.如果刚载入程序,在附近就有一个CALL的,我们就F7跟进去,这样很快就能到程序的OEP
6.在跟踪的时候,如果运行到某个CALL程序就运行的,就在这个CALL中F7进入