第一难 虚拟机

解决重装Vmware出现 无法安装服务“Vmware Authorization Service”( VmAuthdService)。请确保您有足够的权限安装系统服务。

尝试以管理员身份启动cmd，输入以下代码：

net stop VMAuthdService
taskkill /F /IM mmc.exe
sc delete VMAuthdService

win10企业版ltsc激活

slmgr -ipk M7XTQ-FN8P6-TTKYV-9D4CC-J462D
slmgr -skms kms.03k.org
slmgr -ato
slmgr -dlv

第二难 识别有无壳？什么壳

利用软件 如exeinfo ollydbg32位 x64dbg x32dbg等等

有壳

有几个常见的加壳工具

aspack

Shielden

Themida

UPX

VMProtect

壳又有压缩壳、加密壳

UPX是常见的压缩壳

无壳

不同编译器 不同语言 不同版本 得到的不同

门类众多

这是什么壳？

作业1

遂学习xiaomo手脱UPX壳教程

第三难 UPX脱壳？

x64dbg快捷键 f8步进 f9运行 f4运行到光标 f2打断点

脱破UPX思路

0、各种方法找OEP

1、dump

2、IAT修复

3、fix dump

————————————————————————————————

找OEP方法挺多

有个有意思的ESP法

1、拖入程序后单步pushad进去（f8）

2、看ESP内存位置，打硬件 写入 4字节断点

3、f9 跳到断点

4、OEP就在下面不远处

第四难 IAT 修复

在OEP dump，自动获取或者手动获取IAT信息

要填入OEP 起始点 大小，手动获取可以在进入oep，进入call，查看调用api的内存位置，注意多个连续无效块的下面。 size可以大不能小，多余的修复信息delete掉 存疑和无效的应delete

第五难 实战？

C32Asm ProcMon ProcExp