****************************************************************************************

如何分辨加密壳和压缩壳，通用特点，Od载入时有入口警告或询问是压缩程序吗？普通压缩壳Od调试时候没有异常，加密壳全部有反跟踪代码，会有许多SEH陷阱使OD调试时产生异常。
找OEP的一般思路如下：
先看壳是加密壳还是压缩壳，压缩壳相对来说容易些，一般是没有异常。
外壳解压代码起始点如果是

pushfd
pushad

跟踪时如果有发现

popad
popfd

对应
有些壳只有

pushad

和

popad

相对应
附近还有

retn
jmp

等指令，发生跨断跳跃一般就到了OEP处。
当然也有其他的，如 je OEP等等，一般都是段之间的大跳转，OD的反汇编窗口里都是同一个段的内容，所以更好区别是否是段间跳转。

找Oep时注意两点。
1、单步往前走，不要回头。
2、观察。注意poshad、poshfd,popad、popfd等，和外壳代码处对应，注意地址发生大的变化。单步跟踪什 么时候F8走，F7,F4步过？

这里我说说关于F8(Step Over)和F7(Step in)的一般方法，粗跟的时候一般都是常用F8走，但是有些call是变形的Jmp，此时就需要F7代过，区别是否是变形Jmp的一个简单方法是比较call的目标地址和当前地址，如果两者离的很近，一般就是变形Jmp了，用F7走。对于Call的距离很远，可以放心用F8步过，如果你再用F7步过，只是浪费时间而已。F8步过对压缩壳用的很多，F7步过加密壳用的很多，如果用F8一不小心就跑飞（程序运行），跟踪失败。

加密壳找Oep
对于加密壳，我的方法一般是用OD载入，钩掉所有异常（不忽略任何异常，除了忽略在KERNEL32 中的内存访问异常打勾。有时由于异常过多可以适当忽略一些异常），运行，数着用了多少次Shift+F9程序运行，显然最后一次异常后，程序会从壳跳到OEP开始执行，这就是我们寻找OEP的一个关键，如果程序 Shift+F9后直接退出，很明显加密壳检测调试器，最简单的应付方法就是用OD插件隐藏OD。
单步异常是防止我们一步步跟踪程序，即F8,F7，F4等，Int3中断是检测调试器用的，仅在Win9x系统中有效，2000/XP就会出现断点异常,其它的异常主要是干扰调试。这一系列的异常虽然干扰我们调试，但也给我们指明了一条通路，就是Shift+F9略过所有异常，然后找到最后一处异常，再它的恢复异常处下断点，跟踪到脱壳入口点。
确定从所有Seh异常中走出来，如果前面有大量循环，逐段解压。
****************************************************************************************
大家先细细品位下上面的“理论”！如果你弄懂了，那你应该高兴下了。。

****************************************************************************************

好了，切入正题。。。。

OD载入，因为我一开始就不忽略所有的异常，所以一载入就提示有异常，我们shit+F9，点“否”，停在入口了。(不忽略所有的异常,请大家检查一下自己的OD)

00401000 PEncryp> FC cld //停在这里了。
00401001 FC cld
00401002 FC cld
00401003 90 nop
00401004 - E9 BDBA0000 jmp PEncrypt.0040CAC6
00401009 - E3 D5 jecxz short PEncrypt.00400FE0

下面就开始使用最后一次异常法了。。。

我们一直狂按shit+F9，心里要数着按了多少次，程序就运行了:)
我这里按了3次

好，我们现在重新载入程序，到了入口之后，我们再次“狂”按shit+F9，多少次？2次（3-1=2）

0040CCD2 4B dec ebx //停在这里了
0040CCD3 6F outs dx,dword ptr es:[edi]
0040CCD4 6368 69 arpl word ptr ds:[eax+69],bp
0040CCD7 8B4424 04 mov eax,dword ptr ss:[esp+4]

好了，我们先就停在这里

看看转存器窗口
0012FFBC 0012FFE0 指针到下一个 SEH 记录
0012FFC0 0040CCD7 SE 句柄 //Ctrl+G，到0040CCD7
0012FFC4 77E614C7 返回到 kernel32.77E614C7
0012FFC8 00000000
0012FFCC 00000000
0012FFD0 7FFDF000

F2下断，shit+F9运行，停到0040CCD7，取消断点，单步F8

0040CCD7 8B4424 04 mov eax,dword ptr ss:[esp+4] //停到这里了
0040CCDB 8B00 mov eax,dword ptr ds:[eax]
0040CCDD 3D 04000080 cmp eax,80000004
0040CCE2 74 06 je short PEncrypt.0040CCEA //跳走

。。。。。。。。。。

0040CCEA /EB 02 jmp short PEncrypt.0040CCEE//跳到这里，这里又再次跳走
0040CCEC |49 dec ecx

。。。。。。。。。。
0040CCEE 60 pushad //跳到这里了，关键提示 ，继续F8
0040CCEF 9C pushfd //关键提示
0040CCF0 BE 00104000 mov esi,PEncrypt.<ModuleEntryPoin>
0040CCF5 8BFE mov edi,esi
0040CCF7 B9 00100000 mov ecx,1000
0040CCFC BB 2B11D2BB mov ebx,BBD2112B
0040CD01 AD lods dword ptr ds:[esi]
0040CD02 33C3 xor eax,ebx
0040CD04 AB stos dword ptr es:[edi]
0040CD05 ^ E2 FA loopd short PEncrypt.0040CD01 //要回跳了
0040CD07 9D popfd //在这里F4，继续F8
0040CD08 61 popad
0040CD09 EB 02 jmp short PEncrypt.0040CD0D //跳走

。。。。。。。。。。
0040CD0D 60 pushad //跳到这里了，关键提示 ，继续F8
0040CD0E 9C pushfd //关键提示
0040CD0F BE 00504000 mov esi,PEncrypt.00405000
0040CD14 8BFE mov edi,esi
0040CD16 B9 00040000 mov ecx,400
0040CD1B BB 2B11D2BB mov ebx,BBD2112B
0040CD20 AD lods dword ptr ds:[esi]
0040CD21 33C3 xor eax,ebx
0040CD23 AB stos dword ptr es:[edi]
0040CD24 ^ E2 FA loopd short PEncrypt.0040CD20 //要回跳了
0040CD26 9D popfd //在这里F4，继续F8，关键提示
0040CD27 61 popad //关键提示
0040CD28 BD CC104000 mov ebp,PEncrypt.004010CC //看到这里了没？004010CC
0040CD2D FFE5 jmp ebp //跳到OEP

。。。。。。。

004010CC 55 push ebp ; PEncrypt.004010CC //OEP，DUMP
004010CD 8BEC mov ebp,esp
004010CF 83EC 44 sub esp,44

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
脱壳后发现程序不能运行,用Imprec修复引入函数表，在Oep处填10cc,点IT自动搜索,然后点获输入信息,看到输入表全部有效,点修复抓取文件按钮,选择Dump的文件,修复它,运行后仍然不能运行。那我们还有Lordpe重建PE的功能！

运行Lordpe重建Pe,选择Imprec修复的文件，修复后正常运行。

****************************************************************************************
大家可以体会一下，如果你是单步跟踪这个程序的话，很难跳出SEH陷阱，因为SEH陷阱的确是太多了。所以使用最后一次异常这个方法还是蛮有效的。。。。好了今天的动画就到这里啦。。拜拜