yodas Crypter

Yoda's Crypter是一款来自国外的加壳工具，关注度较少，所以相对国内的大多数加壳工具成功率较高。下载汉化版（图4）并运行，在软件界面中，单击“文件”后面的按钮，载入木马文件，然后勾选“CRC自检验破坏时退出程序”、“反脱壳（脱壳时死机）”、“删除入口点信息”和“API伪装”。

这么做的好处是，可以提高壳的保护能力和伪装能力，抵抗杀毒软件的查杀，效果非常明显。而另外两项作用不大，副作用还不小，建议大家不要勾选。最后，点击“生成”按钮，一个加壳免杀的木马就炮制出来了。

yoda's Crypter特点：

这个壳总体来说特点还是比较鲜明的，所以也比较好脱。首先运行后会来到
一堆的“00 00 00 00”的代码这里异常，这时我们就得到了下个SE的地址，CTRL+G，下断，
SHIFT+F9，这里就是这个壳最有特点的地方了！前面一堆什么不管，最后三句是：
5F                  pop edi  //在这里的时候，EDI的值就是OEP了
C9                  leave
C3                  retn
讲到这个壳就顺便提一下仙剑壳，其实仙剑壳就是在前面加了一堆花指令的yoda's Crypter壳
前面一路SHIFT+F9也会来到一个很熟悉的地方：一堆“00000000”，不过仙剑壳会多点其他的
数字，但是没什么大差别，对付的方法都是一模一样的，这里就不多说了。

脱壳教程：

第一步：查壳，yoda's cryptor 1.2

第二步：OD载入，忽略所有异常。

打开内存镜像
内存镜像，项目 17
地址=00407000
大小=00005000 (20480.)
Owner=Yoda's_C 00400000
区段=.rsrc
包含=resources
类型=Imag 01001002
访问=R
初始访问=RWE

F2下断，F9运行

继续打开内存镜像
内存镜像，项目 17
地址=00401000
大小=00004000 (16384.)
Owner=Yoda's_C 00400000
区段=.text
包含=code
类型=Imag 01001008
访问=RW CopyOnWr
初始访问=RWE

F2下断，F9运行

OK，到了OEP了~~dump出来！

发现2，不能够运行~~修复就OK了~~