软件破解教程（菜鸟破解补习班） - 图文

我们选择“是”，按n次F9让它运行起来，如图11，

现在我们把上面的那个小窗口给关闭了，OD会来到外壳程序的入口点，按F8跟踪，当遇到第一个call时按F7跟进，因为这是第二次运行外壳程序，所以程序会略过解密部分，接

着F8再来跟踪，很快就会来到程序的OEP了，如图12，

动态链接库法测试成功。

第二步 Dump

★Dump：也称为转存，就是我们常说的抓取内存映像，把内存中的映像读取出来，以文件

的形式保存。

一般来说，当EIP(指令指针寄存器)指向OEP时我们Dump就是正确的，常用的Dump工具有LoadPE，ProcDump，PETools等。另外OD中的一个插件OllyDump也可以Dump，用起

如图14，来比较方便，就是有个缺点，不方便抓取DLL和OCX的映像。

OllyDump抓取EXE

我们已经来到了程序的OEP处，在OD工具栏的插件中选择“OllyDump” →“Dump

Debugged process”,如图13，

这时会弹出一个如图14所示的窗口，我们只要按一下Dump按钮，把文件保存起来就可以

了，用PEID查看一下Dump后的文件，如图15，

已经脱壳成功了。

LoadPE抓取DLL

首先我们让OD来到DLL的 OEP处，然后我们打开LoadPE，在上面的窗口中选择

loaddll的进程，下面的窗口选中我们载入loaddll的DLL进程，点击右键选择

“dump full”保存起来就好了，如图16。

重建输入表

在加壳过程中，破坏原程序的输入表是必有的功能，在Dump后重建输入表也是非常关键的。 ImportREC是很专业的输入表重建工具，首先我们要确保我们已经找到程序的OEP，并且

文件已经Dump，而且正在运行中。

打开ImportREC，如图17，

在上面的下拉框中选中，Dump后的文件进程，点击左下脚的“自动查找IAT”，在点击先面的“获取输入表”，最后点击“修复转存文件”，包修复好的文件保存起来就OK了。

到此为止，我已经介绍了所有的基本脱壳方法，大家还有问题的可以Q我，389264167。 文章工具

http://bbs.hackerxfiles.net/attachment.php?aid=27759&k=a873a3d21c80cfcc90e8c330afc82876&t=1233913019

http://bbs.hackerxfiles.net/attachment.php?aid=27760&k=b80156183196a9ff5561b7ab134bdca2&t=1233913019

http://bbs.hackerxfiles.net/attachment.php?aid=27761&k=5ba630d146f69af322b9383105a8c2ca&t=1233913019