yodas Crypter

Yoda'sCrypter是一款来自国外的加壳工具，关注度较少，所以相对国内的大多数加壳工具成功率较高。下载汉化版（图4）并运行，在软件界面中，单击“文件”后面的按钮，载入木马文件，然后勾选“CRC自检验破坏时退出程序”、“反脱壳（脱壳时死机）”、“删除入口点信息”和“API伪装”。

这么做的好处是，可以提高壳的保护能力和伪装能力，抵抗杀毒软件的查杀，效果非常明显。而另外两项作用不大，副作用还不小，建议大家不要勾选。最后，点击“生成”按钮，一个加壳免杀的木马就炮制出来了。

yoda'sCrypter特点：

这个壳总体来说特点还是比较鲜明的，所以也比较好脱。首先运行后会来到一堆的“00000000”的代码这里异常，这时我们就得到了下个SE的地址，CTRL+G，下断，SHIFT+F9，这里就是这个壳最有特点的地方了！前面一堆什么不管，最后三句是：5F????????????popedi??//在这里的时候，EDI的值就是OEP了C9????????????leaveC3????????????retn讲到这个壳就顺便提一下仙剑壳，其实仙剑壳就是在前面加了一堆花指令的yoda'sCrypter壳前面一路SHIFT+F9也会来到一个很熟悉的地方：一堆“00000000”，不过仙剑壳会多点其他的数字，但是没什么大差别，对付的方法都是一模一样的，这里就不多说了。

脱壳教程：

第一步：查壳，yoda'scryptor1.2第二步：OD载入，忽略所有异常。打开内存镜像内存镜像，项目17地址=00407000大小=00005000(20480.)Owner=Yoda's_C00400000区段=.rsrc包含=resources类型=Imag01001002访问=R初始访问=RWEF2下断，F9运行继续打开内存镜像内存镜像，项目17地址=00401000大小=00004000(16384.)Owner=Yoda's_C00400000区段=.text包含=code类型=Imag01001008访问=RWCopyOnWr初始访问=RWEF2下断，F9运行OK，到了OEP了~~dump出来！发现2，不能够运行~~修复就OK了~~

Tags:Crypter,加壳.