yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *这壳怎么脱啊，EP区段有UPX

用查壳工具查出是如下图：

yoda's Protector v102 (dll,ocx) -> Ashkbiz Danehkar (h) [Overlay]

用了好几个PEID都是这个壳

这是这个壳的入口点：如下

0060065F > 68 19AA54EA PUSH EA54AA19

00600664 E8 1B9B0000 CALL 10060A184

00600669 E1 3C LOOPDE SHORT 1006006A7

0060066B 7D 1B JGE SHORT 100600688

0060066D 4E DEC ESI

0060066E 15 62F93AE9 ADC EAX,E93AF962

00600673 CC INT3

00600674 A2 BBA8F0C5 MOV BYTE PTR DS:[C5F0A8BB],AL

00600679 FC CLD

0060067A 48 DEC EAX

0060067B ^ 7C D2 JL SHORT 10060064F

0060067D F1 INT1

0060067E E6 C0 OUT 0C0,AL ;

I/O 命令

00600680 B4 83 MOV AH,83

00600682 4A DEC EDX

00600683 D5 37 AAD 37

00600685 7A 10 JPE SHORT 100600697

00600687 49 DEC ECX

00600688 6D INS DWORD PTR ES:[EDI],DX ;

I/O 命令

00600689 815C5A 6A 6F507>SBB DWORD PTR DS:[EDX+EBX2+6A],967A506F

如果用这个PEID查OEP的入口点则是在0041AB0C这里

请看下面

0041AB0C / 55 PUSH EBP

0041AB0D | 8BEC MOV EBP,ESP

0041AB0F | 6A FF PUSH -1

0041AB11 | 68 081E4700 PUSH 100471E08

0041AB16 | 68 70AC4100 PUSH 10041AC70 ;

SE 处理程序安装

0041AB1B | 64:A1 0000000>MOV EAX,DWORD PTR FS:[0]

0041AB21 | 50 PUSH EAX

0041AB22 | 64:8925 00000>MOV DWORD PTR FS:[0],ESP

0041AB29 | 83EC 68 SUB ESP,68

0041AB2C | 53 PUSH EBX

0041AB2D | 56 PUSH ESI

0041AB2E | 57 PUSH EDI

0041AB2F | 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP

0041AB32 | 33DB XOR EBX,EBX

0041AB34 | 895D FC MOV DWORD PTR SS:[EBP-4],EBX

0041AB37 | 6A 02 PUSH 2

0041AB39 | FF15 70FB4600 CALL DWORD PTR DS:[46FB70]

0041AB3F | 59 POP ECX

0041AB40 | 830D 74704A00>OR DWORD PTR DS:[4A7074],FFFFFFFF

0041AB47 | 830D 78704A00>OR DWORD PTR DS:[4A7078],FFFFFFFF

0041AB4E | FF15 74FB4600 CALL DWORD PTR DS:[46FB74]

0041AB54 | 8B0D 94664A00 MOV ECX,DWORD PTR DS:[4A6694]

0041AB5A | 8908 MOV DWORD PTR DS:[EAX],ECX

0041AB5C | FF15 78FB4600 CALL DWORD PTR DS:[46FB78]

如在这里设断点然后运行到这的话，脱壳在当前用DUmp脱过后则显示为Microsoft

Visual C++ v60

这说明已经脱完壳了，但是脱完之后的程序比原来的还要小之前3M多现在2M多，

这个壳可能是个加密壳吧！

（还有就是如果说在这里用lordpe纠正脱壳完的程序用PEID查这个壳还是显示为

yoda's Protector v102 (dll,ocx) ->

Ashkbiz Danehkar (h) [Overlay] 这个也不可以运行用Import修复也不行）

但是运行这个脱过壳的文件后运行报错如下提示：

用Import修复时有一针是无效的针我做了剪切！然后抓取后的文件！也不出现上

面的提示啦，但就是运行不了，一直在进程中只能强行结束它才行！

这个壳有点变态！大部分的CALL都要用F7进入才行！（不管你的CALL是远的还是

近的如果按F8程序就会运行）不然就会运行了！

脱壳脚本格式有TXT格式的，有OSC格式的，都是要在OD中加载的，通常在OD中先加载要脱壳的EXE文件，然后选择针对该EXE的脱壳脚本，然后运行OD，就可以了。但是脚本不是万能的，一个加壳文件通常有好几种脱壳脚本如Asprotect、Execryptor、Themida等。

你这个文件外面加大是Themida壳。。呵呵，你可以去baidu搜下，这个壳很有名的，当然也是出名的强悍。。

关于Themida是有专用的脱壳机的，但是有很多限制，其中就有一条是只能脱掉EXE文件上的壳。你这个文件是DLL上的加壳。。脱壳机是搞不定的。

PS1：能手工脱掉Themida 壳的人在圈子里都叫大神，很牛的大神。

PS2：被Themida压过的文件，很多情况下文件都会损坏。即使脱掉了壳也很可能无法使用。

查壳机查壳判断有没有加壳那简单OD载入看程序入口，不同编程语言有不同入口，当然壳也一样。OD载入程序 ，搜索字符串，没有字符串就加壳了还有就是用资源编辑器载入

他会提示资源被加密了 破解只要一个动态调试器+强悍逆向能力就OK现在破解一般就用OD动态反汇编调试器。他反汇编出来是汇编代码

所以必须学习汇编才能看懂如果你够牛

整个程序你都能根据反汇编出的汇编代码分析这个程序的思路（思路+编程能力=源代码） 脱壳可以找一些静态脱壳机脱壳，不过不是万能最好就是动态调试脱壳没错

就是用OD来脱壳，因为是动态调试器以前的不可能现在都可以实现 破解不一定需要脱壳才能破解

带壳调试找到关键后可以写内存补丁来破解

或者嵌入程序patch代码写补丁很方便哦~还有一点

破解是

crack

以上就是关于yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *这壳怎么脱啊，EP区段有UPX全部的内容，包括:yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *这壳怎么脱啊，EP区段有UPX、如何使用脱壳脚本、追加悬赏:dll被加壳 寻求脱壳高手等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！