手动脱KBys Packer(0.28)壳实战

Posted 2020-09-28 llguanli

作者：Fly2015

吾爱破解培训第一课选修作业第5个练习程序。在公司的时候用郁金香OD调试该加壳程序的时候出了点问题，可是回家用吾爱破解版的OD一调试，浑身精神爽，啥问题也没有。

 

首先使用查壳工具对加壳的程序进行查壳操作。

OD加载须要脱壳的程序进行动态调试和分析，加壳程序入口点反汇编快照。

F8单步跟踪程序几步，发现了比較熟悉的PUSHAD指令，又能够轻松的使用ESP定律进行程序的脱壳了。

F8单步到指令PUSHAD的下一条指令，ESP寄存器右键设置HW Break硬件写入断点，F9畅快的执行程序，然后程序自然的停在了刚才设置的硬件断点的地方，F8走4步就发现了加壳程序原来的OEP的VA地址。

F7跟进地址0041DDAC，熟悉的反汇编入口指令出现了。

OK，如今能够使用工具Scylla_x86进行程序的内存Dump和IAT的修复了。执行一下脱壳完的程序。证明一下脱壳成功。

手动脱KBys Packer(0.28)壳的分析文档和脱壳后程序的下载地址：http://download.csdn.net/detail/qq1084283172/8900545