萬能脫殼工具使用教程

A. 誰能教我如何使用脫殼工具么~

下面整理一些東西讓你了解TRW2000如何脫殼，下面一程序是一壓縮後的軟體，脫這類殼，關鍵是找到入口點。具體例子如下：
運行TRW，選擇菜單中的TRNEWTCB命令，或用菜單的load,然後運行加脫的程序，程序馬上中斷於第一句了。
具體如下：
0137:0043D100 PUSHAD 程序會中斷於這里
0137:0043D101 MOV ESI,0042B0D9
0137:0043D106 LEA EDI,[ESI+FFFD5F27]
0137:0043D10C PUSH EDI
0137:0043D10D OR EBP,-01
0137:0043D110 JMP 0043D122 跳到解壓程序
0137:0043D112 NOP
0137:0043D113 NOP
解壓程序的入口：
0137:0043D122 8B1E MOV EBX,[ESI]
0137:0043D124 83EEFC SUB ESI,-04
0137:0043D127 11DB ADC EBX,EBX
0137:0043D129 72ED JB 0043D118
0137:0043D12B B801000000 MOV EAX,00000001
0137:0043D130 01DB ADD EBX,EBX
0137:0043D132 7507 JNZ 0043D13B
0137:0043D134 8B1E MOV EBX,[ESI]
好了在解壓程序裡面，程序會做無數次的循環，我沒有必要了解它是如何進行加壓的，所以就把
游標一直向下走，一直走到這里：
0137:0043D250 EBD6 JMP 0043D228
0137:0043D252 61 POPAD
0137:0043D253 C3 RET
0137:0043D254 61 POPAD
0137:0043D255 E9D6A1FDFF JMP 00417430 這就是程序的真正入口了
0137:0043D25A 0000 ADD [EAX],AL
0137:0043D25C 0000 ADD [EAX],AL
0137:0043D25E 0000 ADD [EAX],AL
終於找到了入口地址，那麼現在就可以用TRW的pemp＋文件名 命令直接脫殼了,然後回到windows下，到破解目錄找下你剛脫的文件。craker們你找一壓縮軟體如:ASPACK,UPX等，壓縮一軟體，然後用此方法脫殼一下。。。

回答完畢，感覺不錯別忘了加分，謝謝～

B. OD手動脫殼的一般步驟是那些

1.首先用查殼軟體，查軟體是什麼殼。查明後，把要脫殼的軟體放入OD中，以壓縮殼為例，F8單步走，只能讓程序往前跳，不能讓程序往後跳，用F2或F4下斷點就可以。當達到OEP後，就可以用PE工具脫殼了。
建議看看三人行以前做的脫殼初中高教程。以前愛國者安全網。

C. 如何使用脫殼腳本

脫殼腳本格式有TXT格式的，有OSC格式的，都是要在OD中載入的，通常在OD中先載入要脫殼的EXE文件，然後選擇針對該EXE的脫殼腳本，然後運行OD，就可以了。但是腳本不是萬能的，一個加殼文件通常有好幾種脫殼腳本如Asprotect、Execryptor、Themida等。

D. 如何給程序脫殼

你這個問題太過於籠統，其實破解中的脫殼是一個非常復雜的過程，有些殼很容易脫掉，在網上也可以找到相應的脫殼機，有些復雜的殼就需要手動脫殼，我覺得脫殼也可以成為一門復雜的學科，畢竟要破解就要學會脫殼，以前我也曾經看過很多關於脫殼的文章和視頻但是由於編程技術不是很好所以總是似是而非，有一日看到一個視頻，終於有了一個脫殼的思路，留下你的郵箱我可以給發過去，或者你加我的號碼240410420 ,這個視頻的文字教程如下：

脫殼多種方法總結篇

一.脫殼基礎知識要點

1.PUSHAD :（壓棧） 代表程序的入口點

2.POPAD :（出棧） 代表程序的出口點，與PUSHAD想對應.看到這個,就說明快到OEP了.

3.OEP:程序的入口點,軟體加殼就是隱藏OEP.而我們脫殼就是為了找OEP.

二.脫殼調試過程中辨認快到OEP的簡單方法

下面二個條件是快到OEP的共同現象:

若出現下面情況時,說明OEP就要到了:

1. OD跟蹤過程中如果發現:
popad
popfd
或
popad

2.同時,緊接著,有retn ,jmp等其它跳轉指令,發生跨段跳躍時.
說明OEP馬上到了.

三.脫殼必需牢記的要領

1.單步往前走,不要讓程序向上走,遇到向上跳時,在下一句按F4,運行到所選.

2.剛載入程序,在附近就call時,我們按F7跟進去.

3.若跟蹤時,運行某個call程序就運行時,這個call也用F7進入.

4.在跟蹤時,出現比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN同時發生大跨段跳轉時,說明很快就到OEP了.

四.常用脫殼方法總結

------------------
方法一:單步跟蹤法
------------------
介紹:這是最通用的方法,對於未知殼,基本都用這種方法,這種方法過程比較麻煩,要一步一步的跟蹤分析,要有一定的耐心.

1.用OD載入,選"不分析代碼"

2.單步向下跟蹤按F8，實現向下的跳.不讓程序往回跳.

3.遇到程序往回跳的（包括循環），我們在下一句代碼處按F4（或者右健單擊代碼，選擇斷點——>運行到所選）

4.如果剛載入程序，在附近就有一個CALL的，我們就F7跟進去，不然程序很容易運行.

5.在跟蹤的時候，如果運行到某個CALL程序就運行的，就在這個CALL中F7進入.

6.一般遇到很大的跳轉（跨段跳），比如 jmp XXXXXX 或 JE XXXXXX 或有RETN的一般很快就會到程序的OEP。

-----------------
方法二:ESP定律法（ESP與EIP都為紅色）
-----------------
介紹: 這種方法可以脫大部的壓縮殼和少數加密殼,操作起來比較簡單,脫殼速度也相對比較快.

1.開始就點F8向下走，注意觀察OD右上角的寄存器中ESP有沒突現（變成紅色）

2.在命令行下：dd XXXXXXXX(指在當前代碼中的ESP地址，或者hr
XXXXXXXX)，按回車！

3.選中下斷的地址，斷點--->硬體訪--->WORD斷點。

4.按一下F9運行程序，直接來到了跳轉處，按下F8向下走，就到達程序OEP。

-----------------
方法三:內存鏡像法
-----------------
介紹:也是一種比較好用的脫殼方法,大部分的壓縮殼和加密殼用內存鏡像法能快速脫掉.非常實用.

1.用OD打開,設置選項——調試選項——異常,忽略所有異常(也就是把裡面的忽略全部√上),然後CTRL+F2重載下程序！

2.按ALT+M,打開內存鏡象，找到程序的第一個.rsrc.按F2下斷點，然後按SHIFT+F9運行到斷點.

3.接著再按ALT+M,打開內存鏡象，找到程序的第一個.rsrc.上面的.CODE，按F2下斷點！然後按SHIFT+F9，直接到達程序OEP！

另外：加入內存模塊中看到多個PE代碼就從第一個PE下面的代碼下斷點，shift+F9，單步進行，看到INC 的地址，查找到這個地址一般就為程序入口，可能會因為有多個PE所以沒有解密，單步進行知道程序返回到這個入口，然後脫殼
----------------
方法四:一步到OEP
----------------
介紹:這是一種巧方法,脫殼速度最快,前提是要知道這個殼的特徵,利用這種殼的共性快速找到程序的OEP.這種方法只用於少數殼.

1.開始按Ctrl+F,輸入：popad,然後按下F2下斷，按F9運行到此處.

2.很快來到大跳轉,按F8向下走,來到OEP.

----------------
方法五:利用內存異常（選項--異常，中下面勾都去掉）
----------------
shift+F9 幾次 運行後記住運行了幾次後打開的軟體
重新導入，shift+F9 運行比剛才少一次，觀察od右下角SE異常，記下前面地址，ctrl+G，輸入這個地址
F2下斷點，shift+F9運行到此處，取消斷點然後單步F7跟蹤到oep入口處，LE修改大小然後轉存，然後用ImportRE修改OEP，然後將剛才轉存的文件輸入即可。

E. 軟體怎麼脫殼

非常復雜的問題

先用PEid看是什麼殼，再用相應的脫殼工具

不過一般都不是普通的殼，光脫殼工具不一定搞定

現在的軟體保護技術高，脫了殼也不一定能用，非高手難以辦到

F. 誰能詳細解說下脫殼步驟和軟體

啊，風間仁兄也來了。高手雲集啊，呵呵，=fly出場 朋友，不同的殼脫法是不同的。如果所有的殼都是相同的脫法，也就不會有unpackcn存在了。你可以從頭開始學調試，學到一定地步就可以脫殼了。當然，如果你急需的話，可以照這樣：1 下載Peid（http://www.pediy.com/tools/unpack/File_analysers/peid/peid.rar，無毒）2 偵測程序是什麼殼3 到這里http://www.pediy.com/tools/unpacker.htm或者 查找有沒有高手製作的脫殼機 總得來說就是這樣了。總之要是有時間、興趣的話，歡迎你加入調試的行列。你可以到pediy和unpackcn上學習 祝 下午愉快

G. 如何使用upxshell 脫殼

1,命令行一定要准確.其實你可以安裝一個DosHere的注冊表文件讓文件夾支持直接進入cmd.或者Win+r輸入cmd然後內輸入路徑進到需容要操作的文件夾然後施工,這樣不容易錯.
2,你可以選擇用UPX Shell這個外殼工具,很方便處理文件,在option->Advanced第二項打挑可以讓程序文件支持右鍵UpX轉換.
3,UPX可以選擇文件加密的,加密後的不可以直接脫殼,這是最重的重點.UpxShell中同樣option-advan....裡面第一項就是,另外加密也分多種,每種也有設置不同,脫殼並不是好玩的,確切說不可能"手把手教會".你要學習PE格式以及匯編等一系列的非常熬人的東西,之後還要憑運氣和天賦.
4,顯示UPX加殼,未必只是一個殼,有時可以重疊加幾次殼(其他加密工具),這還不包括程序本身對自身的檢測(脫殼看似成功,但之後不能運行)

H. net脫殼機怎樣用

aspack殼 脫殼可用unaspack或caspr 1.unaspack ，使用方法類似lanuage，傻瓜式軟體，運行後選取待脫殼的軟體即可. 缺點：只能脫aspack早些時候版本的殼，不能脫高版本的殼 2.caspr第一種：待脫殼的軟體（如aa.exe）和caspr.exe位於同一目錄下，執行windows起始菜單的運行，鍵入 caspr aa.exe脫殼後的文件為aa.ex_，刪掉原來的aa.exe，將aa.ex_改名為aa.exe即可。使用方法類似fi 優點：可以脫aspack任何版本的殼，脫殼能力極強缺點：Dos界面。第二種：將aa.exe的圖標拖到caspr.exe的圖標上***若已偵測出是aspack殼，用unaspack脫殼出錯，說明是aspack高版本的殼，用caspr脫即可。

（二）upx殼 脫殼可用upx待脫殼的軟體（如aa.exe）和upx.exe位於同一目錄下，執行windows起始菜單的運行，鍵入upx -d aa.exe。

（三）PEcompact殼 脫殼用unpecompact 使用方法類似lanuage傻瓜式軟體，運行後選取待脫殼的軟體即可。

（四）procmp 萬能脫殼但不精，一般不要用 使用方法：運行後，先指定殼的名稱，再選定欲脫殼軟體，確定即可脫殼後的文件大於原文件由於脫殼軟體很成熟，手動脫殼一般用不到。

I. 如何對.EXE文件進行脫殼

1、首先需要雙擊打開下載好的peid軟體，點擊軟體file後面的三個點按鈕來打開要查殼的軟體。