Machine 脱壳后怎么去除自效验

1735972496

软件名

软件是否有壳;是 axpak
软件是否有网络验证;否

软件特点;脱壳自效验

第一步,先用PEID查壳
第二步，然后使用（ESP定律）脱壳，载入文件后运行到pushad
第三步，然后选中寄存器的ESP，右击HP hrak[ESP]
第四步,ESP定律)右键从分析，从模块中删除分析
第五步,（ESP定律)）右键，用OD脱壳，复制，修正为（偏移）

第六步,打开Lordpe，选中（咱们OD载入的软件进程）进程，然后修正镜像（修正两次）
第七步,然后在右键完整转存,然后保存

第八步,打开REC（输入表重建工具），然后选中（咱们OD载入的软件进程）
第九步,在OEP，粘贴咱们复制的，修正为，就是第五步
第十步，点击自动查找,然后看rva和尺寸大小
第十一步，然后点击获取输入表，然后查看无效输入表，
第十一步，如果有无效函数(就是里面有为，否的)则，点击函数右键删除
第十二步,然后转存到文件
            提示有_杠的就是REC修复完的

第十三步，打开REC修复的文件打不开。代表有自效验
第十四步,用OD载入REC修复的文件,
第十五步,然后点击设置API断点（BreakPoint）在选中(文件)Files在选中GetFileSize
     提示GetFileSize（获取文件大小）如果带壳的大小不一样，程序就会退出（自己对比两个文件大小）
第十五步,然后F9运行，然后OD自动断在上面了，然后看堆栈
第十六步,然后选中某某某到函数来自，右键里面的某某到来自后面的地址，然后反汇编窗口跟随
第十七步,然后看CPU，选中CPU调用的函数，下断（第一行）
第十八步，进入B然后删除系统API就是（第十五步）
第十九步,然后重新载入，F9运行，然后会断在咱们的刚刚下断点
第二十步,然后看F8走顺便看下有没有类似（cmp等对比），找到后用计算机算
          提示;对照寄存器的 E系列
第二十一步,然后往下走看看对比后会怎么样，如果退出，则返回NOP掉je不是对比（cmp）
第二十二步,然后继续走看看是不是还有判断或者类似上一个cmp，然后找到跳转NOP
第二十三步，右键保存吧（完成）























联系我时，请说是在 挂海论坛 上看到的，谢谢！

无伤

我就是过来看看