加密狗坏了可以修复吗（加密狗坏了怎么修复）【百科全说】

查壳(PEID、FI、PE-SCAN)--->寻找OEP(OD)--->脱壳/Dump(LordPE、PeDumper、OD自带的脱壳插件、PETools)--->修复(Import REConstructor)

【工具介绍】

1、查壳

PEID--功能强大的侦壳工具，自带脱壳插件（但是，效果不怎么样）

工作原理：核心是userdb.txt（大家看看就完全明白了）[通过壳的入口特征码进行辨认]

使用方法：可以拖放、也可以把PEID添加到右键菜单里面去

FI--功能强大的侦壳工具，DOS界面。

使用方法：可以拖放、可以使用DOS命令行

2、寻找OEP

ollydbg的四个区域

左上角是cpu窗口,分别是地址,机器码,汇编代码,注释;注释添加方便,而且还能即时显示函数的调用结果,返回值.

右上角是寄存器窗口,但不仅仅反映寄存器的状况,还有好多东东;双击即可改变Eflag的值,对于寄存器,指令执行后发生改变的寄存器会用红色突出显示.

cpu窗口下面还有一个小窗口,显示当前操作改变的寄存器状态.

左下角是内存窗口.可以ascii或者unicode两种方式显示内存信息.

右下角的是当前堆栈情况,还有注释啊.

几个经常使用的快捷键

F2：在需要的地方下断点（INT3型断点）

F3：选择打开程序

F4：运行到所选择的那一行

F7：单步进入

F8：单步跟踪

F9：执行程序（运行程序）

其中要特别讲一下3个F9的区别和作用：

根据Ollydbg.hlp的中文翻译

Shift F9 - 与F9相同，但是如果被调试程序发生异常而中止，调试器会首先尝试执行被调试程序指定的异常处理（请参考忽略Kernel32中的内存非法访问）。

Ctrl F9 - 执行直到返回，跟踪程序直到遇到返回，在此期间不进入子函数也不更新CPU数据。因为程序是一条一条命令执行的，所以速度可能会慢一些。按Esc键，可以停止跟踪。

Alt F9 - 执行直到返回到用户代码段，跟踪程序直到指令所属于的模块不在系统目录中，在此期间不进入子函数也不更新CPU数据。因为程序是一条一条执行的，所以速度可能会慢一些。按Esc键，可以停止跟踪。

看这些中文介绍大家可能还不是很明白，用我们通俗的语句来说就是：

Ctrl F9 运行至retn （一般到了retn之后接上F7返回）

Alt F9 运行至上层调用的下句

Shift F9 忽略异常运行

文件:

1.其中包括该菜单的下部有上次打开的纪录,该纪录保存有上次未清除的断点.

2.附加.对付那些Anti-Debug程序.先运行程序,再运行od,文件-->附加.

查看:

1.执行模块(Alt E),查看程序使用的动态链接库

2.查看断点.Alt B

调试:

1.运行(F9)加载程序后,运行!

2.暂停(F12)

3.单步进入(F7)遇见CALL进入!进入该子程序.

4.单步跳过(F8)遇见CALL不进去!

5.执行到返回(ALT F9)就是执行到该子程的返回语句

查看-->文件

二进制文件编辑功能.查看-->文件,打开的文件是二进制显示.选中要改变的机器指令,空格,修改,右击-->保存.

其他的一些具体的大家还是要看看OD的中文帮助的

3、Dump

OD自带的脱壳插件--到达OEP之后右键。。。

LordPE、PeDumper--选择所调试的进程--右键--完整脱壳

4、修复

Import REConstructor 1.6

脱壳后，程序肯定不能正常运行，当然需要这个软件修复下啦~~

5 自校验

很多软件脱壳后，会碰到这个问题，其实也简单，找到弹错误框上面CALL，断点，一般下面有个关键跳，自己根据情况跳还是不跳，或者开两个OD，一个是原来的，一个事脱壳后的，比较下，就知道怎么修改了~

加密狗坏了可以修复吗（加密狗坏了怎么修复）

相关推荐