By wynney

****************************************************************************************

http://bbs.chinadev.net

By wynney
****************************************************************************************

大家好，我是wynney，回想了一下我前面做的十五课，里面只是提了一下，没有真正介绍“最后一次异常法”。今天就给大家做个动画，希望能够起到抛砖引玉的作用。先给大家介绍一点“理论知识”吧，里面有许多观点引用了二哥的说法。

****************************************************************************************

如何分辨加密壳和压缩壳，通用特点，Od载入时有入口警告或询问是压缩程序吗？普通压缩壳Od调试时候没有异常，加密壳全部有反跟踪代码，会有许多SEH陷阱使OD调试时产生异常。
找OEP的一般思路如下：
先看壳是加密壳还是压缩壳，压缩壳相对来说容易些，一般是没有异常。
外壳解压代码起始点如果是

pushfd
pushad

跟踪时如果有发现

popad
popfd

对应
有些壳只有

pushad

和

popad

相对应
附近还有

retn
jmp

等指令，发生跨断跳跃一般就到了OEP处。
当然也有其他的，如 je OEP等等，一般都是段之间的大跳转，OD的反汇编窗口里都是同一个段的内容，所以更好区别是否是段间跳转。

找Oep时注意两点。
1、单步往前走，不要回头。
2、观察。注意poshad、poshfd,popad、popfd等，和外壳代码处对应，注意地址发生大的变化。单步跟踪什 么时候F8走，F7,F4步过？

这里我说说关于F8(Step Over)和F7(Step in)的一般方法，粗跟的时候一般都是常用F8走，但是有些call是变形的Jmp，此时就需要F7代过，区别是否是变形Jmp的一个简单方法是比较 call的目标地址和当前地址，如果两者离的很近，一般就是变形Jmp了，用F7走。对于Call的距离很远，可以放心用F8步过，如果你再用F7步过，只是浪费时间而已。F8步过对压缩壳用的很多，F7步过加密壳用的很多，如果用F8一不小心就跑飞（程序运行），跟踪失败。

加密壳找Oep
对于加密壳，我的方法一般是用OD载入，钩掉所有异常（不忽略任何异常，除了忽略在KERNEL32 中的内存访问异常打勾。有时由于异常过多可以适当忽略一些异常），运行，数着用了多少次Shift+F9程序运行，显然最后一次异常后，程序会从壳跳到 OEP开始执行，这就是我们寻找OEP的一个关键，如果程序 Shift+F9后直接退出，很明显加密壳检测调试器，最简单的应付方法就是用OD插件隐藏OD。
单步异常是防止我们一步步跟踪程序，即F8, F7，F4等，Int3中断是检测调试器用的，仅在Win9x系统中有效，2000/XP就会出现断点异常,其它的异常主要是干扰调试。这一系列的异常虽然干扰我们调试，但也给我们指明了一条通路，就是Shift+F9略过所有异常，然后找到最后一处异常，再它的恢复异常处下断点，跟踪到脱壳入口点。
确定从所有Seh异常中走出来，如果前面有大量循环，逐段解压。
****************************************************************************************
大家先细细品位下上面的“理论”！如果你弄懂了，那你应该高兴下了。。

****************************************************************************************