下面是我的脫殼。

手動脫殼

1.ESP定律法檢視通用暫存器ESP,資料視窗跟蹤。F8單步步入，F4禁止向上跳轉

2.單步跟蹤法F8單步跟蹤，遇CALL F7進入。直到到達OEP，經過多次F8,F4終於到達OEP了，恆大的第三課的跳轉好多，逢向上的跳轉，用F4。

3.指令碼脫殼法這個不需多說了。

4.軟體脫殼法，此法完美脫殼，win7 x64下測試通過，正常執行，並且區段無upx0，upx1

5.一步到達oep法，前輩總結的經驗。查詢POPAD,不要勾選整個塊。向下走幾步。就可以到達oep，適用於部分殼。POPAD 出棧。

6.記憶體映象法，經過兩次呼叫記憶體，然後在.risc處下斷點，最終到達

以上方法，除了用脫殼機以外，用ollydump脫殼除錯程序，用方式一（在記憶體映象中搜索JMP[API]︱CALL[API]）重建輸入表,後會提示，如下圖，可能與我x64有關。

如果用方式二（在脫殼檔案中搜索DLL&API名稱）的話，會提示

還有種方式Lordpe完，重建輸入表，我沒配置好工具，吾愛專版的不會用，未測試。

用peid查殼後，發現ep段仍然有殘留。

UPX

UPX (the Ultimate Packer for eXecutables)

基本介紹

UPX是一款先進的可執行程式檔案壓縮器。壓縮過的可執行檔案體積縮小50%-70% ，這樣減少了磁碟佔用空間、網路上傳下載的時間和其它分佈以及儲存費用。 通過 UPX 壓縮過的程式和程式庫

UPX有不光彩的使用記錄，它被用來給木馬和病毒加殼，躲避防毒軟體的查殺。

UPX是一個著名的壓縮殼,主要功能是壓縮PE檔案(比如exe,dll等檔案),有時候也可能被病毒用於免殺.殼upx是一種保護程式。一般是EXE檔案的一種外保護措施，主要用途 ：

1、讓正規檔案被保護起來，不容易被修改和破解。

2、使檔案壓縮變小。

3、保護防毒軟體安裝程式，使之不受病毒侵害。

4、木馬，病毒的保護外殼，使之難以為攻破。 僅僅看一個殼upx路徑是不能確定什麼的。要仔細看看他相對應的檔案，如果是防毒或者是自己已知的檔案那就無傷大雅，要是其他疑似，就要認真對待了。

有些軟體的安裝程式是加殼安裝的，屬正常現象。建議查殺一下惡意程式、病毒。

技術原理

對於可執行程式資源壓縮,是保護檔案的常用手段. 俗稱加殼,加殼過的程式可以直接執行,但是不能檢視原始碼.要經過脫殼才可以檢視原始碼.

加殼：其實是利用特殊的演算法，對EXE、DLL檔案裡的資源進行壓縮。類似WINZIP的效果，只不過這個壓縮之後的檔案，可以獨立執行，解壓過程完全隱蔽，都在記憶體中完成。解壓原理，是加殼工具在檔案頭裡加了一段指令，告訴CPU，怎麼才能解壓自己。當加殼時，其實就是給可執行的檔案加上個外衣。使用者執行的只是這個外殼程式。當執行這個程式的時候這個殼就會把原來的程式在記憶體中解開，解開後，以後的就交給真正的程式。

應用平臺

壓縮檔案

用UPX壓縮過的可執行檔案體積縮小50%-70% ，這樣減少了磁碟佔用空間、網路上傳下載的時間和其它分佈以及儲存費用。 通過 UPX 壓縮過的程式和程式庫完全沒有功能損失和壓縮之前一樣可正常地執行，支援的大多數格式程式，沒有執行時間或記憶體的不利後果。

加殼脫殼

程式為了反跟蹤、被人跟蹤除錯、防止演算法程式被別人靜態分析就需要加殼。使用加殼軟體加密程式碼和資料，就可以保護你程式資料的完整性，防止被程式修改和被窺視內幕。

版權資訊

Copyright (C) 1996-2007 Markus Franz Xaver Johannes OberhumerCopyright (C)1996-2007 Laszlo MolnarCopyright (C) 2000-2007 John F. ReiserAll RightsReserved.This program may be used freely, and you are welcome toredistribute itunder certain conditions.This program is distributed in the hope that it willbe useful,but WITHOUT ANY WARRANTY; without even the implied warrantyofMERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See theUPX LicenseAgreement for more details.

使用例項

相關軟體

Upx it

Upx-shell

簡單實用的程式壓縮、解壓縮利器，壓縮率高，支援EXE、COM、DLL、SYS、OCX等多種檔案格式的壓縮。海峰電腦家園製作，製作時，採用官方多語言原版，修正使用中文語言包時的顯示錯誤，由於是使用語言包漢化的，第一次使用的時候，需要點選Options欄，在Select youlanguaga下拉選單中選擇簡體中文。

Freeupx

Free UPX 是 UPX 的圖形化外殼工具，比純粹的 UPX 更友好、更易於使用。較其他外殼程式，此工具的可選引數更多。個人感覺，壓縮，解壓縮也更穩定。

Free UPX 是一個非常全面的可執行檔案壓縮軟體，用於壓縮和解壓縮微軟可移植可執行程式以及COFF規則的EXE, DLL, OCX, BPL, CPL 等，它為 DOS 版的 UPX 提供友好的使用介面，並增加不少的新的引數與功能，簡單易用。

請注意！反覆壓縮、解壓縮同一個檔案，容易出現“未發現檔案”的錯誤，這個並不是漢化的原因，原版也同樣有這樣的問題；UPX 在處理檔案的時候要更改檔案的名稱，在出現上述錯誤時，檢視檔案所在目錄是否有以.000 或 .UPX 為副檔名的檔案，將其改為原副檔名稱再次處理就好了。

Upxtool+

本文出自 “獨步清風” 部落格，請務必保留出處