PEDiminisher脱壳教学视频

(视频截图)

今天给大家讲一下PEDiminisher的4种脱法吧，由于本人已经测试脱壳之后都可以运行~我就不演示脱壳啦，节约时间。

查壳，PEDiminisher 0.1 -> Teraphy

用OD载入，我已经载入了。方法比较多我就不写代码了。大家仔细看清楚点。。。

方法一：单步

大家再看看另外的个单步法。。。注意看了和上一种有什么区别了

呵呵~其实没什么区别~因为我们在脱壳的时候都有这个经验，离入口的第一个CALL一般都要F7过，我第一次是用F8过的~~程序没跑飞，算是侥幸吧~~~刚才用F7过了一下~结果是一样的~呵呵~~

方法二：内存镜像法

内存镜像，项目 17
 地址=00415000
 大小=00002000 (8192.)
 Owner=Ped      00400000
 区段=.rsrc
 包含=resources
 类型=Imag 01001002
 访问=R
 初始访问=RWE

就是要 区段=.rsrc

。。。。。。。。。。。。。。。

内存镜像，项目 14
 地址=00401000
 大小=00004000 (16384.)
 Owner=Ped      00400000
 区段=.text
 包含=code
 类型=Imag 01001002
 访问=R
 初始访问=RWE

要的就是 区段=.text

。。。。。。。。。。。。。。。

OK就这么简单

方法三：ESP

关于ESP定律建议大家掌握好。很有用的！

记得把断点清除掉！！

方法四：模拟跟踪

内存镜像，项目 18
 地址=00417000
 大小=00001000 (4096.)
 Owner=Ped      00400000
 区段=.teraphy
 包含=SFX,imports
 类型=Imag 01001002
 访问=R
 初始访问=RWE

要是就是它了00417000（要这个区段，SFX,imports）

tc eip<00417000

大家看到了~已经在跟踪之中了。。。慢慢等下~~~。。。^_^