Q&A.md

新手入门百问

转自 52pojie 《新手脱壳破解常见问题几百问》

---

Q-01 我是新入论坛的萌新，如何准确识别到底是哪种壳

解答：

• 《【初学者教程】破解基础知识之认识壳与程序的特征》
• 《吾爱破解培训第一课：破解基础知识之介绍常见工具和壳的特征》

---

Q-02 为什么我跟着教程脱壳时候来到了 OEP（程序入口点）但是不一样!

如：xiaomo 大大破解教程，按照视频，相同操作，结果却不同

解答：遇到这种问题时候，我们只需要在 OllyDbg 的反汇编窗口内操作 右键 -> 分析 -> 删除分析

---

Q-03 使用脱壳插件进行 Dump 出现异常，提示 “内存无法读取”

解答：不要用 Win7/8 或以上系统进行脱壳，换成 xp 虚拟机，原因是 ASLR 基地址随机化，Dump 插件获取的地址不对。

---

Q-04 脱壳时候的地址跟视频里的地址不同

解答：不要用 Win7/8 或以上系统进行脱壳，换成 xp 虚拟机，原因是 ASLR 基地址随机化导致地址不同。

---

Q-05 使用异常法脱壳勾除忽略异常后为什么 Ollydbg 无法暂停

解答：把 OD 插件 -> StrongOD -> Options -> Skip Some Some Exceptions 选项勾除，再尝试重新启动 OD。

---

Q-06 在XP系统上脱完壳可以运行，到 Win7/8 或以上系统上就无法运行

解答：

• 原因一: IAT 未完全修复成功导致，重新修复，不要用脱壳插件，使用 LordPE 来 dump 再用 ImprotREC 来修复 IAT（不要使用OllyDump 来脱壳，老东西 bug 多，脱完无法运行不计其数）
• 原因二: 由于 ASLR 和重定位表的问题，详见 http://www.52pojie.cn/thread-382462-1-1.html

---

Q-07 脱完壳用 ExeinfoPE 查壳显示 “Unknown Packer-Protector” 未知

解答：知道脱完就好了，脱完的 vs2008 的程序 ExenfoPE 没能识别出来，但根据它的提示使用它的插件 “advance scan” 是可以扫描出来的，可以试一下。

---

Q-08 如何知道是否脱壳成功

解答：可参考 Q-01，简单的说脱完壳后可以正常运行，OEP入口代码为无壳代码特征，IAT解密完、资源没有被压缩即可。

---

Q-09 如何完美脱壳和处理重定位

解答：转了一些 fly 的帖子，大家可以参考：

• http://www.52pojie.cn/thread-382879-1-1.html
• http://www.52pojie.cn/thread-382872-1-1.html
• http://www.52pojie.cn/thread-382870-1-1.html

---

Q-10 关于 ximo 脱壳教程和论坛虚拟机机中 OD 使用可能遇到的问题

解答：OD不要直接在虚拟机的共享文件夹加载文件，请把文件复制到虚拟机磁盘上再进行调试。

---

Q-11 无法定位程序输入点 NtdllDefWindowProc_A 于动态链接库 user32.dll 上

解答：不要用 Win7/8 或以上系统进行脱壳，换成 xp 虚拟机。

---

Q-12 用 ImprotREC 修复 IAT 时候 找不到目标进程

解答：不要用 Win7/8 或以上系统进行脱壳，换成 xp 虚拟机。

---

Q-13 有的软件载 入Ollydbg 后，点击单步就卡住

解答：修改 OD 的配置文件 Ollydbg.ini，把其中 Restore windows 的值修改为最小值 0 或其它。

---

Q-14 软件载入 Ollydbg 后与别人停留的地方不一样

解答：检查 OD 的配置 选项 -> 调试设置 -> 事件 -> 设置第一次暂停于 -> 主模块入口点

---

Q-15 软件载入 Ollydbg 后查找中文字符串为乱码

解答：有两种可能：

1. 未安装可以识别中文的相关插件
2. 程序未运行到 OEP（程序入口点），字符串尚未初始化，所以查到的都是内存中的随机字符串