od输入要跟随的快捷键是什么

这里是全部的详细类容 你自己看看

快捷键

无论当前的OllyDbg窗口是什么，这些快捷键均有效：

Ctrl+F2 - 重启程序，即重新启动被调试程序。如果当前没有调试的程序，OllyDbg会运行历史列表［history

list］中的第一个程序。程序重启后，将会删除所有内存断点和硬件断点。

译者注：从实际使用效果看，硬件断点在程序重启后并没有移除。

Alt+F2 - 关闭，即关闭被调试程序。如果程序仍在运行，会d出一个提示信息，询问您是否要关闭程序。

F3 - d出“打开32位EXE文件”对话框［Open 32-bit EXE file］，您可以选择可执行文件，并可以输入运行参数。

Alt+F5 -

让OllyDbg总在最前面。如果被调试程序在某个断点处发生中断，而这时调试程序d出一个总在最前面的窗口（一般为模式消息或模式对话框［modal

message

or dialog］），它可能会遮住OllyDbg的一部分，但是我们又不能移动最小化这个窗口。激活OllyDbg（比如按任务栏上的标签）并按

Alt+F5，OllyDbg将设置成总在最前面，会反过来遮住刚才那个窗口。如果您再按一下Alt+F5，OllyDbg会恢复到正常状态。

OllyDbg是否处于总在最前面状态，将会保存，在下一次调试时依然有效。当前是否处于总在最前面状态，会显示在状态栏中。

F7 -

单步步入到下一条命令，如果当前命令是一个函数［Call］，则会停在这个函数体的第一条命令上。如果当前命令是是含有REP前缀，则只执行一次重复 *** 作。

Shift+F7 -

与F7相同，但是如果被调试程序发生异常而中止，调试器会首先尝试步入被调试程序指定的异常处理（请参考忽略Kernel32中的内存非法访问）。

Ctrl+F7 -

自动步入，在所有的函数调用中一条一条地执行命令（就像您按住F7键不放一样，只是更快一些）。当您执行其他一些单步命令，或者程序到达断点，或者发生异常时，自动步入过程都会停止。每次单步步入，OllyDbg都会更新所有的窗口。所以为了提高自动步入的速度，请您关闭不必要成窗口，对于保留的窗口最好尽量的小。按Esc键，可以停止自动步入。

F8 -

单步步过到下一条命令。如果当前命令是一个函数，则一次执行完这个函数（除非这个函数内部包含断点，或发生了异常）。如果当前命令是含有REP前缀，则会执行完重复 *** 作，并停在下一条命令上。

Shift+F8 -

与F8相同，但是如果被调试程序发生异常而中止，调试器会首先尝试步过被调试程序指定的异常处理（请参考忽略Kernel32中的内存非法访问）。

Ctrl+F8 -

自动步过，一条一条的执行命令，但并不进入函数调用内部（就像您按住F8键不放一样，只是更快一些）。当您执行其他一些单步命令，或者程序到达断点，或者发生异常时，自动步过过程都会停止。每次单步步过，OllyDbg都会更新所有的窗口。所以为了提高自动步过的速度，请您关闭不必要成窗口，对于保留的窗口最好尽量的小。按Esc键，可以停止自动步过。

F9 - 让程序继续执行。

Shift+F9 -

与F9相同，但是如果被调试程序发生异常而中止，调试器会首先尝试执行被调试程序指定的异常处理（请参考忽略Kernel32中的内存非法访问）。

Ctrl+F9 -

执行直到返回，跟踪程序直到遇到返回，在此期间不进入子函数也不更新CPU数据。因为程序是一条一条命令执行的，所以速度可能会慢一些。按Esc键，可以停止跟踪。

Alt+F9 -

执行直到返回到用户代码段，跟踪程序直到指令所属于的模块不在系统目录中，在此期间不进入子函数也不更新CPU数据。因为程序是一条一条执行的，所以速度可能会慢一些。按Esc键，可以停止跟踪。

Ctrl+F11

-Run跟踪步入，一条一条执行命令，进入每个子函数调用，并把寄存器的信息加入到Run跟踪的存储数据中。Run跟踪不会同步更新CPU窗口。

F12 - 停止程序执行，同时暂停被调试程序的所有线程。请不要手动恢复线程运行，最好使用继续执行快捷键或菜单选项（像 F9）。

Ctrl+F12 - Run跟踪

步过，一条一条执行命令，但是不进入子函数调用，，并把寄存器的信息加入到Run跟踪的存储数据中。Run跟踪不会同步更新CPU窗口。

Esc - 如果当前处于自动运行或跟踪状态，则停止自动运行或跟踪；如果CPU显示的是跟踪数据，则显示真实数据。

Alt+B - 显示断点窗口。在这个窗口中，您可以编辑、删除、或跟进到断点处。

Alt+C - 显示CPU窗口。

Alt+E - 显示模块列表［list of modules］。

Alt+K - 显示调用栈［Call stack］窗口。

Alt+L - 显示日志窗口。

Alt+M - 显示内存窗口。

Alt+O - 显示选项对话框［Options dialog］

Ctrl+P - 显示补丁窗口。

Ctrl+T - 打开 暂停 Run跟踪 对话框

Alt+X - 关闭 OllyDbg。

大多数窗口都支持以下的键盘命令：

Alt+F3 - 关闭当前窗口。

c&vWmLSGE

Ctrl+F4 - 关闭当前窗口。

F5 - 最大化当前窗口或将当前窗口大小改为正常化。

F6 - 切换到下一个窗口。

Shift+F6 - 切换到前一个窗口。

F10 - 打开与当前窗口或面板相关的快捷菜单。

左方向键 - 显示窗口左方一个字节宽度的内容。

Ctrl+左方向键 - 显示窗口左方一栏的内容。

右方向键 - 显示窗口右方一个字节宽度的内容

Ctrl+右方向键 - 显示窗口右方一栏的内容

反汇编窗口中的快捷键［Disassembler shortcuts］

当CPU窗口中的反汇编面板［Disassembler pane］处于激活状态时，您可以使用以下快捷键：

回车键 - 将选中的命令添加到命令历史［command

history］中，如果当前命令是一个跳转、函数或者是转换表的一个部分，则进入到目的地址。

退格键 - 移除选中部分的自动分析信息。如果分析器将代码误识别为数据，这个快捷键就非常有用。请参考解码提示［decoding hints］

Alt+退格键 - 撤消所选部分的修改，以备份数据的相应内容替换所选部分。仅当备份数据存在且与所选部分不同时可用。

Ctrl+F1 -如果API帮助文件已经选择，将打开与首个选择行内的符号名相关联的帮助主题。

F2 -在首个选择的命令上开关INT3 断点［Breakpoint］，也可以双击该行第二列。

Shift+F2 -在首个选择命令设置条件断点，参见忽略Kernel32中内存访问异常［Ignore memory access violations

in Kernel32］。

F4

-执行到所选行，在首个选择的命令上设置一次性断点，然后继续执行调试程序，直到OllyDbg捕获到异常或者停止在该断点上。在程序执行到该命令之前，该一次性断点一直有效。如有必要，可在断点窗口［Breakpoints

window］中删除它。

Shift+F4 -设置记录断点（一种条件断点，当条件满足时一些表达式的值会记录下来）， 详情参见断点［Breakpoint］。

Ctrl+F5 -打开与首个选择的命令相对应的源文件。

Alt+F7 -转到上一个找到的参考。

Alt+F8 -转到下一个找到参考。

Ctrl+A -分析当前模块的代码段。

Ctrl+B - 开始二进制搜索。

Ctrl+C -复制所选内容到剪贴板。复制时会简单地按列宽截断不可见内容，如果希望排除不需要的列，可把这些列的宽度调整到最小。

Ctrl+E -以二进制（十六进制）格式编辑所选内容。

Ctrl+F -开始命令搜索。

Ctrl+G -转到某地址。该命令将d出输入地址或表达式的窗口。该命令不会修改 EIP。

Ctrl+J -列出所有的涉及到该位置的调用和跳转，在您用这个功能之前，您必须使用分析代码功能。

Ctrl+K - 查看与当前函数相关的调用树［Call tree］。在您用这个功能之前，您必须使用分析代码功能。

Ctrl+L - 搜索下一个，重复上一次的搜索内容。

Ctrl+N - 打开当前模块的名称（标签）列表。

Ctrl+O -

扫描object文件。扫描Object文件。该命令会显示扫描Object文件对话框，您可以在该对话框中选择Object文件或者lib文件，并扫描这个文件，试图找到在实际代码段中用到的目标模块。

Ctrl+R

-搜索所选命令的参考。该命令扫描激活模块的全部可执行代码，以找到涉及到首个选中的命令的全部相关参考（包括：常量、跳转及调用），您可以在参考中使用快捷键

Alt+F7 和 Alt+F8来浏览这些参考。为便于您使用，被参考的命令也包含在该列表中。

Ctrl+S -命令搜索。该命令显示命令查找［Find command］对话框供您输入汇编命令，并从当前命令开始搜索。

星号［Asterisk］() -转到原始位置（激活线程的EIP处）。

Ctrl+星号() - 指定新的起始位置，设置当前所选线程的EIP为首个选择字节的地址。您可以在选择EIP并撤消该 *** 作。

加号［Plus］(+) -如果run跟踪［run trace］ 没有激活，则根据命令历史［command

history］跳到下一条运行过命令的地方；否则跳到Run跟踪的下一个记录。

Ctrl+加号 - 跳到前一个函数开始处。（注意只是跳到，并不执行）

减号［Minus］(-) - 如果run跟踪［run trace］ 没有激活，则根据命令历史［command

history］跳到前一条运行过命令的地方；否则跳到Run跟踪的前一个记录。

Ctrl+减号 - 跳到下一个函数开始处。（注意只是跳到，并不执行）

空格［Space］ -

修改命令。您可在显示对话框中以汇编语言修改实际指令或输入新指令，这些指令将替换实际代码，您也可以在想要修改的指令处双击鼠标。

冒号［Colon］( - 添加标签。显示添加标签窗口［Add label］或修改标签窗口［Change

label］，您可在此输入与首个选择的命令中的第一个字节相关联的标签（符号名）。注意，在多种编程语言中，冒号可以是标签的一部分。

分号［Semicolon］(;) - 添加注释［comment］。显示添加注释窗口［Add label］或修改注释窗口［Change

label］，您可在此输入与首条所选命令的第一个字节相关联的注释（注释串会显示在最后一列中）。注意，多种汇编语言使用分号作为注释开始。您也可以在注释列双击需要注释的命令行。

命令行插件支持的命令

CALC

判断表达式

WATCH

添加监视表达式

AT

在指定地址进行反汇编

FOLLOW

跟随命令

ORIG

反汇编于 EIP

DUMP

在指定地址进行转存

DA

转存为反汇编代码

DB

使用十六进制字节格式转存

DC

使用 ASCII 格式转存

DD

转存在堆栈格式

DU

转存在 UNICODE 格式

DW

使用十六进制字词格式转存

STK

AS

（AS + 地址 + 字符串）

在指定地址进行汇编

BP

进行条件中断（有条件的断点）

BPX

中断在全部调用 （Call）

BPD

清除全部调用中的断点

BC

清除断点

MR

内存断点于访问时

MW

内存断点于写入时

MD

清除内存断点

HR

访问时进行硬件中断

HW

写入时进行硬件中断

HE

执行时进行硬件中断

HD

清除硬件断点

STOP

停止运行程序调试

PAUSE

暂停执行程序调试

RUN

运行程序进行调试

GE

运行和通过例外

SI

单步进入 Call 中

SO

步过 Call

TI

跟踪进入直到地址

TO

跟踪步过直到地址

TC

跟踪进入直到满足条件

TOC

跟踪步过直到满足条件

TR

运行直到返回

TU

运行直到用户代码

LOG

查看记录窗口

MOD

查看模块窗口

MEM

查看内存窗口

CPU

查看 CPU 窗口

CS

查看 Call 堆栈

BRK

查看断点窗口

OPT

打开选项设置窗口

EXIT

退出 OllyDbg

QUIT

退出 OllyDbg

OPEN

打开一个可执行文件

CLOSE

关闭可执行文件

RST

重新运行当前程序

HELP

查看 API 函数的帮助

有些朋友问起这个，所以，我在这里写出自己的方法和大家一起探讨。如果谁有更好的方法，也希望能贴出来和大家分享。

2  以miracl库为例。

工具

1  IDA 50 Adv 500879

2  CryptoSIGv20

3  OllyDbg v110

4  我的第14个CrackMe_0014及其源代码RSAc

5  PdriLl的KenGenMe nr2

6  《加密与解密II》配套光盘中chap06的一个例子 RSA_CrackMe

自动定位

以CrackMe_0014为例。我的建议是你自己先至少粗略分析一下这3个CrackMe，以了解其加密流程，后面可能更好理解我试图要阐述的东西。

1  把CryptoSIGsig文件拷贝到IDA的sig目录下；

2  用IDA载入程序，等待它分析完后在IDA View-A窗口内右键切换到Text View模式；

3  按Shift + F5键调出List of applied library modules窗口；

4  右键选择Apply new signature或者按Insert键d出如下窗口

5  选择CryptoSIG，点击OK

总共有55个函数被重新标识。

你可能留意到了HTBTeam小组，感谢他们为我们带来这么好的东东吧J

6  在IDA的File菜单中选择Produce file à Create MAP file保存之；

7  用Ollydbg 载入程序，在菜单中选择 插件àLoad MapàLoad Map File后，来到看看。

用 OD 加载

一步一步的跟踪调试，到了程序的入口点，就dump掉

你问的太广泛了，每个壳的特征都不一样，程序的入口点也不一样，要见到具体的壳具体分析

网上有很多的教程，自己找找看

ollydbg的界面: 菜单: 文件: 1其中包括该菜单的下部有上次打开的纪录,该纪录保存有上次未清除的断点 2附加对付那些Anti-Debug程序先运行程序,再运行od,文件-->附加查看: 1执行模块(Alt+E),查看程序使用的动态链接库 2查看断点Alt+B 调试: 1运行(F9)加载程序后,运行! 2暂停(F12) 3单步进入(F7)遇见CALL进入!进入该子程序 4单步跳过(F8)遇见CALL不进去! 5执行到返回(ALT+F9)就是执行到该子程的返回语句 ollydbg的16进制编辑功能类似与hiew,hex workshop 查看-->文件 二进制文件编辑功能查看-->文件,打开的文件是二进制显示选中要改变的机器指令,空格,修改,右击-->保存 ollydbg的四个区域 左上角是cpu窗口,分别是地址,机器码,汇编代码,注释;注释添加方便,而且还能即时显示函数的调用结果,返回值 右上角是寄存器窗口,但不仅仅反映寄存器的状况,还有好多东东;双击即可改变Eflag的值,对于寄存器,指令执行后发生改变的寄存器会用红色显示 cpu窗口下面还有一个小窗口,显示当前 *** 作改变的寄存器状态 不错; 左下角是内存窗口可以ascii或者unicode两种方式显示内存信息; 右下角的是当前堆栈情况,还有注释啊 F3选择打开程序 使用 F9执行程序 下断点: 1对函数下下断点 在代码区右击-->搜索-->当前模块中的名称(ctrl+N),在跳出来的对话框中选择需要下的断点函数->右击->查找导入参考(enter),按F2下断点如果有多个地方调用了该函数就这样 *** 作。 2在需要的地方下断点 F2 添加注释: 在代码区第四列,右击-->注释 查看内存地址 右击内存地址列-->前往-->输入要查看的内存地址 在函数lstrlen的注释的上方,有一个变量string,当执行到该函数的时候,string后面会出现lstrlen函数的参数字符串在实际使用中一般是输入的字符串(很好用哦) 类似的还有lstrcmp,上面有string1,string2能够显示将要比较的两个字符串 另外,一般在执行getwindowtext等函数后,右边寄存器列,eax会显示函数的返回值,即取到的内容同时内存中也会有显示 在反汇编中选中一条命令，如果其中有用到内存中的地址,右击-->在转存中跟随-->直接常数 此时内存地址会显示指令中引用到的内存字符 拷贝功能十分强大直接选择要拷贝的内容右击-->复制-->文件or剪贴板 ollydbg的条件断点可以按寄存器，存储器，消息（必须是消息的数字，如wm_command就是111）等等设断，非常强大，一旦设了之后记录到文件中，下次restart程序还能用，不用拿笔记，很方便。 显示跳转路进: 选项-->调试设置-->cpu页-->显示跳转的方向,显示跳转的路径,如果跳转没有实现则显示灰色路径。在cpu窗口中,机器码的前面显示">"符号同时,在cpu窗口下的小缝中会显示跳转路径,从何跳转而来右击-->前往一般都是条件跳转，上面的内容就是比较的地方啦。：） 跟踪功能: 选项-->调试跟踪-->跟踪:设置运行跟踪的缓存大小越大越好 调试-->打开或清除运行跟踪 然后我们就可以用CTRL+F11或CTRL+F12开启“跟踪进入”和“ 跟踪跳过”了。当我们暂停程序的时候，可以用小键盘上的“+”，“-”，“”来控制跟踪功能了。 其中,“跟踪进入”和运行类似，但是记录所有指令以及寄存器变化。并且会自动进入所有的CALL中。 “ 跟踪跳过”和“跟踪进入”类似，但是不进入CALL “+”用来显示跟踪缓冲区中的下一条指令 “-”用来显示跟踪缓冲区中的上一条指令 “”用来发返回当前指令 让OD显示MFC42DLL中的函数 打开调试-->选择导入库-->添加-->选择MFC43LIB加入重新载入MFC程序，就可以看到call后面的api函数了 动态暂停以messagebox为例) 先运行目标程序,再运行od,选择文件-->附加在目标程序运行出现对话框时,切换至od,F12暂停 字符串参考: 在汇编代码区,右击-->搜索-->字符参考 更改二进制文件: 方法1查看-->文件,打开文件,找到欲修改的偏移,使用机器码修改,然后右击保存文件缺点是需要使用其他软件来获取偏移地址 方法2直接在反汇编代码区更改,这时可以使用汇编代码更改,不用记机器码完了右击-->复制到可执行文件-->保存文件很是方便哪! 关于虚拟地址和偏移地址: ollydbg果然强大,太强大了,在欲修改的指令处右击-->复制到可执行文件,d出窗口中光标所在行即是欲修改的指令所在的偏移地址,右击-->汇编,直接修改汇编指令,不用记机器码,又不用虚拟地址到偏移地址的转换改完后保存文件爽丫! olldbg 下怎么下消息断点？ 如在softice 中下 BMSG 0084 WM_DESTROY，在olldbg下该怎么做？ 不如下断 SendMessage，PostMessage，程序中的消息不一定都经过消息循环。 Ollydbg下消息断点的一个方法 原文： SoftIce can trace application messages And Olly by FuZzYBiT SoftIce can trace application messages And Olly And so does OllyDbg That’s a very “hidden feature” I guess it is sooo useful 1 Open program 2 Names window [CTRL+N in CPU Window] 3 Find User32TranslateMessage API 4 right click/FindReferences 5 conditional breakpoint [SHIFT+F4] 6 expression: MSG 7 Log function arguments: Always If you cannot find it, try right click SEARCH FOR-> ALL INTERMODULAR CALLS But if I want to trap a specific message like WM_COMMAND To Log Only WM_COMMAND Do it in this fashion: 1 Open program 2 Names window [CTRL+N in CPU Window] 3 Find User32TranslateMessage API 4 right click/FindReferences 5 conditional breakpoint [SHIFT+F4] 6 Condtion box: MSG==WM_COMMAND 7 Log function arguments: On Condition If you can’t find User32TranslateMessage API, do the same as above 翻译: SoftIce 能够跟踪应用程序的消息，那么OllyDbg呢？ by FuZzYBiT OllyDbg也是可以的，那是一个非常"隐蔽的功能"。它是如此的有用。 1 打开程序 2 名字窗口[ 在CPU窗口中按CTRL+N ] 3 查找 User32TranslateMessage API 4 右击/FindReferences(查找参考) 5 下条件断点 [SHIFT+F4] 6 表达式: MSG 7 记录函数参数:永远 如果你不能找到它，试试右击鼠标，然后搜索全部模块中的名称。 但是如果我想要捕捉一个特定的消息如WM_COMMAND呢 只对WM_COMMAND记录 用这个方法做: 1 打开一个程序 2 名字窗口[ 在CPU窗口中按CTRL+N ] 3 查找 User32TranslateMessage API 4 右击/FindReferences(查找参考) 5 下条件断点 [SHIFT+F4] 6 条件框:MSG==WM_COMMAND 7 记录函数参数: 条件满足时 如果你不能找到User32TranslateMessage API，象上面那样做。 以下命令适用于 OllyDbg 的命令行插件 Cmdlinedll（显示于程序的插件菜单中） 聆风听雨整理

问题一：软件如何脱壳，用什么软件脱壳 首先你要检查一下加的什么壳，要是你检测时候发现是VC++写的，那就说明没加壳，自然就不需要脱壳。用什么加的壳，先PEid查看一下，然后再去找专门的脱壳工具,一旦检测出壳的种类，就可以脱壳了。

问题二：万能脱壳工具QuickUnpack怎么脱壳 (QuickUnpack)使用方法

1、点击打开文件选择要脱壳的文件

2、点击连接进程选择要连接的进程和模板

3、点击完全脱壳开始脱壳

问题三：软件破解有没有通用万能的脱壳的好工具？asprotect壳有什么工具可以脱掉？ （一）壳的概念

作者编好软件后,编译成exe可执行文件。 1有一些版权信息需要保护起来,不想让别人随便改动,如作者的姓名等，即为了保护软件不被破解，通常都是采用加壳来进行保护。 2需要把程序搞的小一点,从而方便使用。于是,需要用到一些软件,它们能将exe可执行文件压缩, 3在黑客界给木马等软件加壳脱壳以躲避杀毒软件。

实现上述功能,这些软件称为加壳软件。

（二）加壳软件最常见的加壳软件ASPACK ,UPX,PEpact 不常用的加壳软件WWPACK32；PE-PACK ；PETITE ；NEOLITE

（三）侦测壳和软件所用编写语言的软件，因为脱壳之前要查他的壳的类型。 1侦测壳的软件fileinfoexe 简称fiexe(侦测壳的能力极强) 2侦测壳和软件所用编写语言的软件languageexe(两个功能合为一体,很棒) 推荐language2000中文版（专门检测加壳类型） 3软件常用编写语言Delphi,VisualBasic(VB)---最难破,VisualC(VC)

（四）脱壳软件。 软件加壳是作者写完软件后，为了保护自己的代码或维护软件产权等利益所常用到的手段。目前有很多加壳工具，当然有盾，自然就有矛，只要我们收集全常用脱壳工具，那就不怕他加壳了。软件脱壳有手动脱壳和自动脱壳之分，下面我们先介绍自动脱壳，因为手动脱壳需要运用汇编语言，要跟踪断点等，不适合初学者，但我们在后边将稍作介绍。

加壳一般属于软件加密，现在越来越多的软件经过压缩处理，给汉化带来许多不便，软件汉化爱好者也不得不学习掌握这种技能。现在脱壳一般分手动和自动两种，手动就是用TRW2000、TR、SOFTICE等调试工具对付，对脱壳者有一定水平要求，涉及到很多汇编语言和软件调试方面的知识。而自动就是用专门的脱壳工具来脱，最常用某种压缩软件都有他人写的反压缩工具对应，有些压缩工具自身能解压，如UPX；有些不提供这功能，如：ASPACK，就需要UNASPACK对付，好处是简单，缺点是版本更新了就没用了。另外脱壳就是用专门的脱壳工具来对付，最流行的是PROCDUMP v162 ，可对付目前各种压缩软件的压缩档。在这里介绍的是一些通用的方法和工具，希望对大家有帮助。我们知道文件的加密方式，就可以使用不同的工具、不同的方法进行脱壳。下面是我们常常会碰到的加壳方式及简单的脱壳措施，供大家参考： 脱壳的基本原则就是单步跟踪，只能往前，不能往后。脱壳的一般流程是:查壳->寻找OEP->Dump->修复 找OEP的一般思路如下： 先看壳是加密壳还是压缩壳，压缩壳相对来说容易些，一般是没有异常，找到对应的popad后就能到入口，跳到入口的方式一般为。 我们知道文件被一些压缩加壳软件加密，下一步我们就要分析加密软件的名称、版本。因为不同软件甚至不同版本加的壳，脱壳处理的方法都不相同。

常用脱壳工具： 1、文件分析工具（侦测壳的类型）：Fi,GetTyp,peid，pe-scan， 2、OEP入口查找工具：SoftICE,TRW,ollydbg,loader,peid 3、dump工具：IceDump,TRW,PEditor,ProcDump32,LordPE 4、PE文件编辑工具：PEditor,ProcDump32,LordPE 5、重建Import Table工具：ImportREC,ReVirgin 6、ASProtect脱壳专用工具：Caspr(ASPr V11-V12有效)，Rad(只对>>

问题四：软件脱壳工具有哪些 10分 常见的脱壳工具有两种：

1。OD自带脱壳插件

鼠标右键菜单,选择Dump debugged process->设置Entry Point->点击Dump

2LordPE

LordPE进程列表中选择目标进程->鼠标右键菜单,选择完整脱壳;

脱壳步骤

查壳

使用PEID, PE-SCAN等查壳工具查壳

查找OEP

使用OllyDbg跟踪调试找到OEP

脱壳

右键使用OLLYDBG自带的脱壳插件

修复

脱下的程序如果不能执行,使用Import ReConstructor工具修复

问题五：软件破解脱壳法 什么是脱壳技术？

在一些电脑软件里有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行拿到控制权，然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然（但后来也出现了所谓的“壳中带籽”的壳）。由于这段程序和自然界的壳在功能上有很多相同的地方，基于命名的规则，大家就把这样的程序称为“壳”了。就像电脑病毒和自然界的病毒一样，其实都是命名上的方法罢了。从功能上抽象，软件的壳和自然界中的壳相差无几。无非是保护、隐蔽壳内的东西。而从技术的角度出发，壳是一段执行于原始程序前的代码。原始程序的代码在加壳的过程中可能被压缩、加密……。当加壳后的文件执行时，壳这段代码先于原始程序运行，他把压缩、加密后的代码还原成原始程序代码，然后再把执行权交还给原始代码。 软件的壳分为加密壳、压缩壳、伪装壳、多层壳等类，目的都是为了隐藏程序真正的OEP（入口点，防止被破解）。关于“壳”以及相关软件的发展历史请参阅吴先生的《一切从“壳”开始》。

（一）壳的概念：作者编好软件后，编译成exe可执行文件。

1有一些版权信息需要保护起来，不想让别人随便改动如作者的姓名，即为了保护软件不被破解，通常都是采用加壳来进行保护。

2需要把程序搞的小一点，从而方便使用。于是需要用到一些软件，它们能将exe可执行文件压缩。

3在黑客界给木马等软件加壳脱壳以躲避杀毒软件。实现上述功能，这些软件称为加壳软件。

（二）加壳软件最常见的加壳软件ASPACK ，UPX，PEpact 不常用的加壳软件WWPACK32；PE-PACK；PETITE NEOLITE

（三）侦测壳和软件所用编写语言的软件，因为脱壳之前要查他的壳的类型。

1侦测壳的软件 fileinfoexe 简称 fiexe (侦测壳的能力极强)。

2侦测壳和软件所用编写语言的软件languageexe(两个功能合为一体，很棒)推荐。language2000中文版(专门检测加壳类型)。

3软件常用编写语言Delphi；VisualBasic (VB)最难破；VisualC (VC)。

（四）脱壳软件。

软件加壳是作者写完软件后，为了保护自己的代码或维护软件产权等利益所常用到的手段。目前有很多加壳工具，当然有盾，自然就有矛，只要我们收集全常用脱壳工具，那就不怕他加壳了。软件脱壳有手动脱和自动脱壳之分，下面我们先介绍自动脱壳，因为手动脱壳需要运用汇编语言，要跟踪断点等，不适合初学者，但我们在后边将稍作介绍。

=======================================================================

加壳一般属于软件加密，现在越来越多的软件经过压缩处理，给汉化带来许多不便，软件汉化爱好者也不得不学习掌握这种技能。现在脱壳一般分手动和自动两种，手动就是用TRW2000、TR、SOFTICE等调试工具对付，对脱壳者有一定水平要求，涉及到很多汇编语言和软件调试方面的知识。而自动就是用专门的脱壳工具来脱，最常用某种压缩软件都有他人写的反压缩工具对应，有些压缩工具自身能解压，如UPX；有些不提供这功能，例如：ASPACK，就需要UNASPACK对付，好处是简单，缺点是版本更新了就没用了。另外脱壳就是用专门的脱壳工具来对付，最流行的是PROCDUMP v162，可对付目前各种压缩软件的压缩档。在这里介绍的是一些通用的方法和工具，希望对大家有帮助。我们知道文件的加密方式，就可以使用不同的工具、不同的方法进>>

问题六：万能脱壳工具QuickUnpack怎么脱壳 万能脱壳工具(QuickUnpack)使用方法

1、点击打开文件选择要脱壳的文件

2、点击连接进程选择要连接的进程和模板

3、点击完全脱壳开始脱壳

问题七：软件如何脱壳 步骤1 检测壳

壳的概念：

所谓“壳”就是专门压缩的工具。

这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩，壳的压缩指的是针对exe、、和dll等程序文件进行压缩，在程序中加入一段如同保护层的代码，使原程序文件代码失去本来面目，从而保护程序不被非法修改和反编译，这段如同保护层的代码，与自然界动植物的壳在功能上有很多相似的地方，所以我们就形象地称之为程序的壳。

壳的作用：

1保护程序不被非法修改和反编译。

2对程序专门进行压缩，以减小文件大小，方便传播和储存。

壳和压缩软件的压缩的区别是

压缩软件只能够压缩程序

而经过壳压缩后的exe、和dll等程序文件可以跟正常的程序一样运行

下面来介绍一个检测壳的软件

PEID v092

这个软件可以检测出 450种壳

新版中增加病毒扫描功能，是目前各类查壳工具中，性能最强的。

另外还可识别出EXE文件是用什么语言编写的VC++、Delphi、VB或Delphi等。

支持文件夹批量扫描

我们用PEID对easymailexe进行扫描

找到壳的类型了

UPX 0896 - 102 / 105 - 124 -> Markus & Laszlo

说明是UPX的壳

下面进行

步骤2 脱壳

对一个加了壳的程序，去除其中无关的干扰信息和保护限制，把他的壳脱去，解除伪装，还原软件本来的面目。这个过程就叫做脱壳。

脱壳成功的标志

脱壳后的文件正常运行，功能没有损耗。

还有一般脱壳后的文件长度都会大于原文件的长度。

即使同一个文件，采用不同的脱壳软件进行脱壳，由于脱壳软件的机理不通，脱出来的文件大小也不尽相同。

关于脱壳有手动脱壳和自动脱壳

自动脱壳就是用专门的脱壳机脱 很简单 按几下就 OK了

手动脱壳相对自动脱壳 需要的技术含量微高 这里不多说了

UPX是一种很老而且强大的壳 不过它的脱壳机随处就能找到

UPX本身程序就可以通过

UPX 文件名 －d

来解压缩 不过这些需要的 命令符中输入

优点方便快捷 缺点DOS界面

为了让大家省去麻烦的 *** 作 就产生了一种叫 UPX SHELL的外壳软件

UPX SHELL v309

UPX 外壳程序！

目的让UPX的脱壳加壳傻瓜化

注：如果程序没有加壳 那么我们就可以省去第二步的脱壳了，直接对软件进行分析了。

脱完后 我们进行

步骤3

运行程序

尝试注册

获取注册相关信息

通过尝试注册 我们发现一个关键的字符串

“序列号输入错误”

步骤4

反汇编

反汇编一般用到的软件 都是 W32Da

W32da 对于新手 易于上手 *** 作简单

W32Da 有很多版本 这里我推荐使用 W32Da 无极版

我们现在反汇编WebEasyMail的程序文件easymailexe

然后看看能不能找到刚才的字符串

步骤5

通过eXeScope这个软件来查看未能在w32da 中正确显示的字符串信息

eXeScope v650

更改字体，更改菜单，更改对话框的排列，重写可执行文件的资源，包括(EXE，DLL，OCX）等。是方便强大的汉化工具，可以直接修改用 VC++ 及 DELPHI 编制的程序的资源，包括菜单、对话框、字符串表等

新版可以直接查看 加壳文件的资源

我们打开eXeScope

找到如下字串符

122,序列号输入错误

123,恭喜>>

问题八：有没有万能的中文版脱壳机！怎么使用！ 小生我怕怕工具包有你所要的，至于怎么用望自学成才。

问题九：将一个软件脱壳之后该怎么能做呢、 脱壳后要修复 如果脱壳后 能正常使用 就不用修复了没有壳后 可以修改程序里面的标签、标题、文本等可以用 c32 这个软件修改 查看原帖>>

求采纳

问题十：软件脱壳后用什么软件来修改 第一步，用fi243确定壳的类型，有自动脱壳工具的，用工具脱。否则第二步。

第二步，用bw2k确定程序的真正入口点OEP，不妨记为xxxx；若找不到，请试一试Softice + icedump： 使用Icedump 的/tracex 命令可能找到OEP 的地址；若还找不到，只能手动跟踪，看你的功力和运气了。

第三步，用trw装入（load）程序，下bpx xxxx，g。中断后用pedump命令脱壳，格式是

pedump c: est estexe。不能中断时运行superbpm，选中erase，重复第三步 *** 作。若脱出来的testexe可以运行，则脱壳完毕，否则第四步。

第四步， 用peditor 修正testexe，用Import REConstructor v12 beta2修复输入表，参照以下这篇文章

若还是不行，建议你用内存补丁或放弃暴破，去算注册号吧。

以下以S-Spline 204为例，讲一讲手动脱壳和修复import表的具体 *** 作步骤。S-Spline 204

第一步，用fi243确定壳的类型。fi243没有GUI界面，是命令行程序，用法是这样：

c:fi243fi s-splineexe。

Fi已经检测不出新版asprotect了，所以如果遇到检测不出的类型，就有可能是asprotect。接着往下做吧。

第二步，用bw2k确定程序的真正入口点OEP，

运行bw2k，面板上的entry point显示为00000000。按track钮，再运行s-splineexe，程序界面出来之后，bw2k的面板上entry point显示为7e910，这就是入口点了。退出s-spline，我们又迈出了可喜的第二步。

第三步，运行SuperBPM，选中erase（默认为不选中），确保trw能够中断。

第四步，运行trw2k，按browse找到并选中s-splineexe，按loader装入。下bpx 47e910，g。trwd出时输入pedump c: est estexe，退出trw（不退也行），但不要退出s-spline。在c: est下会找到testexe。这个程序目前还不能运行，因为它的import表是被加密的。

第五步，用peditor修正testexe。运行peditor，按browse找到testexe，确定。再按sections，d出一个窗口，显示每个section的信息。在窗口中点右键，在d出菜单中选dumpfixer(RS=VS & RO=VO)，提示'DONE'，这时可以关闭peditor了。

第六步，运行ImportREC12beta2，在Attach to an Active Process下拉框中选中s-splineexe，然后在左下方OEP中输入7e910(就是EP-image base=47e910-400000)，按IAT AutoSearch。出现对话框Found Something!=》

以上就是关于od输入要跟随的快捷键是什么全部的内容，包括:od输入要跟随的快捷键是什么、miracl库函数调用问题求助、如何使用ollydbgv1.10脱壳等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！