万能脱壳工具使用教程

A. 谁能教我如何使用脱壳工具么~

下面整理一些东西让你了解TRW2000如何脱壳，下面一程序是一压缩后的软件，脱这类壳，关键是找到入口点。具体例子如下：
运行TRW，选择菜单中的TRNEWTCB命令，或用菜单的load,然后运行加脱的程序，程序马上中断于第一句了。
具体如下：
0137:0043D100 PUSHAD 程序会中断于这里
0137:0043D101 MOV ESI,0042B0D9
0137:0043D106 LEA EDI,[ESI+FFFD5F27]
0137:0043D10C PUSH EDI
0137:0043D10D OR EBP,-01
0137:0043D110 JMP 0043D122 跳到解压程序
0137:0043D112 NOP
0137:0043D113 NOP
解压程序的入口：
0137:0043D122 8B1E MOV EBX,[ESI]
0137:0043D124 83EEFC SUB ESI,-04
0137:0043D127 11DB ADC EBX,EBX
0137:0043D129 72ED JB 0043D118
0137:0043D12B B801000000 MOV EAX,00000001
0137:0043D130 01DB ADD EBX,EBX
0137:0043D132 7507 JNZ 0043D13B
0137:0043D134 8B1E MOV EBX,[ESI]
好了在解压程序里面，程序会做无数次的循环，我没有必要了解它是如何进行加压的，所以就把
光标一直向下走，一直走到这里：
0137:0043D250 EBD6 JMP 0043D228
0137:0043D252 61 POPAD
0137:0043D253 C3 RET
0137:0043D254 61 POPAD
0137:0043D255 E9D6A1FDFF JMP 00417430 这就是程序的真正入口了
0137:0043D25A 0000 ADD [EAX],AL
0137:0043D25C 0000 ADD [EAX],AL
0137:0043D25E 0000 ADD [EAX],AL
终于找到了入口地址，那么现在就可以用TRW的pemp＋文件名 命令直接脱壳了,然后回到windows下，到破解目录找下你刚脱的文件。craker们你找一压缩软件如:ASPACK,UPX等，压缩一软件，然后用此方法脱壳一下。。。

回答完毕，感觉不错别忘了加分，谢谢～

B. OD手动脱壳的一般步骤是那些

1.首先用查壳软件，查软件是什么壳。查明后，把要脱壳的软件放入OD中，以压缩壳为例，F8单步走，只能让程序往前跳，不能让程序往后跳，用F2或F4下断点就可以。当达到OEP后，就可以用PE工具脱壳了。
建议看看三人行以前做的脱壳初中高教程。以前爱国者安全网。

C. 如何使用脱壳脚本

脱壳脚本格式有TXT格式的，有OSC格式的，都是要在OD中加载的，通常在OD中先加载要脱壳的EXE文件，然后选择针对该EXE的脱壳脚本，然后运行OD，就可以了。但是脚本不是万能的，一个加壳文件通常有好几种脱壳脚本如Asprotect、Execryptor、Themida等。

D. 如何给程序脱壳

你这个问题太过于笼统，其实破解中的脱壳是一个非常复杂的过程，有些壳很容易脱掉，在网上也可以找到相应的脱壳机，有些复杂的壳就需要手动脱壳，我觉得脱壳也可以成为一门复杂的学科，毕竟要破解就要学会脱壳，以前我也曾经看过很多关于脱壳的文章和视频但是由于编程技术不是很好所以总是似是而非，有一日看到一个视频，终于有了一个脱壳的思路，留下你的邮箱我可以给发过去，或者你加我的号码240410420 ,这个视频的文字教程如下：

脱壳多种方法总结篇

一.脱壳基础知识要点

1.PUSHAD :（压栈） 代表程序的入口点

2.POPAD :（出栈） 代表程序的出口点，与PUSHAD想对应.看到这个,就说明快到OEP了.

3.OEP:程序的入口点,软件加壳就是隐藏OEP.而我们脱壳就是为了找OEP.

二.脱壳调试过程中辨认快到OEP的简单方法

下面二个条件是快到OEP的共同现象:

若出现下面情况时,说明OEP就要到了:

1. OD跟踪过程中如果发现:
popad
popfd
或
popad

2.同时,紧接着,有retn ,jmp等其它跳转指令,发生跨段跳跃时.
说明OEP马上到了.

三.脱壳必需牢记的要领

1.单步往前走,不要让程序向上走,遇到向上跳时,在下一句按F4,运行到所选.

2.刚载入程序,在附近就call时,我们按F7跟进去.

3.若跟踪时,运行某个call程序就运行时,这个call也用F7进入.

4.在跟踪时,出现比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN同时发生大跨段跳转时,说明很快就到OEP了.

四.常用脱壳方法总结

------------------
方法一:单步跟踪法
------------------
介绍:这是最通用的方法,对于未知壳,基本都用这种方法,这种方法过程比较麻烦,要一步一步的跟踪分析,要有一定的耐心.

1.用OD载入,选"不分析代码"

2.单步向下跟踪按F8，实现向下的跳.不让程序往回跳.

3.遇到程序往回跳的（包括循环），我们在下一句代码处按F4（或者右健单击代码，选择断点——>运行到所选）

4.如果刚载入程序，在附近就有一个CALL的，我们就F7跟进去，不然程序很容易运行.

5.在跟踪的时候，如果运行到某个CALL程序就运行的，就在这个CALL中F7进入.

6.一般遇到很大的跳转（跨段跳），比如 jmp XXXXXX 或 JE XXXXXX 或有RETN的一般很快就会到程序的OEP。

-----------------
方法二:ESP定律法（ESP与EIP都为红色）
-----------------
介绍: 这种方法可以脱大部的压缩壳和少数加密壳,操作起来比较简单,脱壳速度也相对比较快.

1.开始就点F8向下走，注意观察OD右上角的寄存器中ESP有没突现（变成红色）

2.在命令行下：dd XXXXXXXX(指在当前代码中的ESP地址，或者hr
XXXXXXXX)，按回车！

3.选中下断的地址，断点--->硬件访--->WORD断点。

4.按一下F9运行程序，直接来到了跳转处，按下F8向下走，就到达程序OEP。

-----------------
方法三:内存镜像法
-----------------
介绍:也是一种比较好用的脱壳方法,大部分的压缩壳和加密壳用内存镜像法能快速脱掉.非常实用.

1.用OD打开,设置选项——调试选项——异常,忽略所有异常(也就是把里面的忽略全部√上),然后CTRL+F2重载下程序！

2.按ALT+M,打开内存镜象，找到程序的第一个.rsrc.按F2下断点，然后按SHIFT+F9运行到断点.

3.接着再按ALT+M,打开内存镜象，找到程序的第一个.rsrc.上面的.CODE，按F2下断点！然后按SHIFT+F9，直接到达程序OEP！

另外：加入内存模块中看到多个PE代码就从第一个PE下面的代码下断点，shift+F9，单步进行，看到INC 的地址，查找到这个地址一般就为程序入口，可能会因为有多个PE所以没有解密，单步进行知道程序返回到这个入口，然后脱壳
----------------
方法四:一步到OEP
----------------
介绍:这是一种巧方法,脱壳速度最快,前提是要知道这个壳的特征,利用这种壳的共性快速找到程序的OEP.这种方法只用于少数壳.

1.开始按Ctrl+F,输入：popad,然后按下F2下断，按F9运行到此处.

2.很快来到大跳转,按F8向下走,来到OEP.

----------------
方法五:利用内存异常（选项--异常，中下面勾都去掉）
----------------
shift+F9 几次 运行后记住运行了几次后打开的软件
重新导入，shift+F9 运行比刚才少一次，观察od右下角SE异常，记下前面地址，ctrl+G，输入这个地址
F2下断点，shift+F9运行到此处，取消断点然后单步F7跟踪到oep入口处，LE修改大小然后转存，然后用ImportRE修改OEP，然后将刚才转存的文件输入即可。

E. 软件怎么脱壳

非常复杂的问题

先用PEid看是什么壳，再用相应的脱壳工具

不过一般都不是普通的壳，光脱壳工具不一定搞定

现在的软件保护技术高，脱了壳也不一定能用，非高手难以办到

F. 谁能详细解说下脱壳步骤和软件

啊，风间仁兄也来了。高手云集啊，呵呵，=fly出场 朋友，不同的壳脱法是不同的。如果所有的壳都是相同的脱法，也就不会有unpackcn存在了。你可以从头开始学调试，学到一定地步就可以脱壳了。当然，如果你急需的话，可以照这样：1 下载Peid（http://www.pediy.com/tools/unpack/File_analysers/peid/peid.rar，无毒）2 侦测程序是什么壳3 到这里http://www.pediy.com/tools/unpacker.htm或者 查找有没有高手制作的脱壳机 总得来说就是这样了。总之要是有时间、兴趣的话，欢迎你加入调试的行列。你可以到pediy和unpackcn上学习 祝 下午愉快

G. 如何使用upxshell 脱壳

1,命令行一定要准确.其实你可以安装一个DosHere的注册表文件让文件夹支持直接进入cmd.或者Win+r输入cmd然后内输入路径进到需容要操作的文件夹然后施工,这样不容易错.
2,你可以选择用UPX Shell这个外壳工具,很方便处理文件,在option->Advanced第二项打挑可以让程序文件支持右键UpX转换.
3,UPX可以选择文件加密的,加密后的不可以直接脱壳,这是最重的重点.UpxShell中同样option-advan....里面第一项就是,另外加密也分多种,每种也有设置不同,脱壳并不是好玩的,确切说不可能"手把手教会".你要学习PE格式以及汇编等一系列的非常熬人的东西,之后还要凭运气和天赋.
4,显示UPX加壳,未必只是一个壳,有时可以重叠加几次壳(其他加密工具),这还不包括程序本身对自身的检测(脱壳看似成功,但之后不能运行)

H. net脱壳机怎样用

aspack壳 脱壳可用unaspack或caspr 1.unaspack ，使用方法类似lanuage，傻瓜式软件，运行后选取待脱壳的软件即可. 缺点：只能脱aspack早些时候版本的壳，不能脱高版本的壳 2.caspr第一种：待脱壳的软件（如aa.exe）和caspr.exe位于同一目录下，执行windows起始菜单的运行，键入 caspr aa.exe脱壳后的文件为aa.ex_，删掉原来的aa.exe，将aa.ex_改名为aa.exe即可。使用方法类似fi 优点：可以脱aspack任何版本的壳，脱壳能力极强缺点：Dos界面。第二种：将aa.exe的图标拖到caspr.exe的图标上***若已侦测出是aspack壳，用unaspack脱壳出错，说明是aspack高版本的壳，用caspr脱即可。

（二）upx壳 脱壳可用upx待脱壳的软件（如aa.exe）和upx.exe位于同一目录下，执行windows起始菜单的运行，键入upx -d aa.exe。

（三）PEcompact壳 脱壳用unpecompact 使用方法类似lanuage傻瓜式软件，运行后选取待脱壳的软件即可。

（四）procmp 万能脱壳但不精，一般不要用 使用方法：运行后，先指定壳的名称，再选定欲脱壳软件，确定即可脱壳后的文件大于原文件由于脱壳软件很成熟，手动脱壳一般用不到。

I. 如何对.EXE文件进行脱壳

1、首先需要双击打开下载好的peid软件，点击软件file后面的三个点按钮来打开要查壳的软件。