利用ESP定律脱壳

原创 2007年09月15日 03:53:00
ESP 定律脱16种壳大全

关于 ESP 脱壳找 EOP

ESP 定律:就是加载程序后 F8单步运行 第一个变化的 ESP 值,右击寄存器上 ESP 在转存中跟随,在内存地址上 选中前四个,右击,断点,硬件访问,word F9,中断,....返回。

(D 12ffc0 选四个下硬件写入 dword) 我的其它小记


1. Aspcak 方法:
ESP+6175(Sb) POPAD JMP

2. UPX 方法:
S 0000 The First JMP
变种
ESP+S (60E9)
0040EA0E 60 PUSHAD
0040EA0F - E9 B826FFFF JMP chap702.004010CC


3. PECompact 1.68 - 1.84
ESP
Or 注意 第一个 PUSH XXXX XXXX+基址(400000)=EOP

4. EZIP 1.0 方法:
ESP

5. JDPack 1.x / JDProtect 0.9
ESP+S(6150)

0040E3F8 894424 1C MOV DWORD PTR SS:[ESP+1C],EAX
0040E3FC 61 POPAD
0040E3FD 50 PUSH EAX
0040E3FE C3 RETN
0040E3FF 23E8 AND EBP,EAX

6. PE Pack 1.0
ESP+S (61ff)
0040D26F 61 POPAD
0040D270 FFE0 JMP EAX

7. WWPack32 1.x
ESP

8. PEDiminisher 0.1
ESP+S(FFE0) or S(JMP EAX)
0041708D 5D POP EBP
0041708E 5F POP EDI
0041708F 5E POP ESI
00417090 5A POP EDX
00417091 59 POP ECX
00417092 5B POP EBX
00417093 - FFE0 JMP EAX

9. DxPACK V0.86
ESP+S(JMP EAX or 61ffe0)
0040D163 61 POPAD
0040D164 - FFE0 JMP EAX

10. PKLITE32 1.1
F8 5 次来到 EOP

11. 32Lite 0.03a
ESP 往下找到
PUSH EAX
50c3 or PUSH EAX
003780F4 50 PUSH EAX
003780F5 C3 RETN
来到
0041C53C FF96 84B50100 CALL DWORD PTR DS:[ESI+1B584]
0041C542 61 POPAD
0041C543 - E9 0848FFFF JMP QEDITOR.00410D50
注意:先用 LoadPE 转存 Olldbg 加载的那个加壳文件,退出,运行加壳后的文件,RecImport 修正 EOP 修复抓取文件到 DUMP 的那个文件。


12. VGCrypt PE Encryptor V0.75
ESP 安 F9(断点开始),地址-1=EOP


13. PC Shrinker 0.71
ESP
00142BA8 BA CC104000 MOV EDX,4010CC
00142BAD FFE2 JMP EDX

14. Petite2.2
1. D 12ffa0
3 下 F9
来到 EOP=地址-1
2. ESP 两下 同上

15. EXE Stealth2.72
ESP+S()

0040D49F 8B9D B62F4000 MOV EBX,DWORD PTR SS:[EBP+402FB6]
0040D4A5 039D BA2F4000 ADD EBX,DWORD PTR SS:[EBP+402FBA]
将堆栈中值10cc+400000=4010cc 得出记事本的Oep. 加壳软件的oep.
0040D4AB C1CB 07 ROR EBX,7


注明:
例子: ESP+S (60E9)
后面 S 是搜索的意思,里面为搜索内容,可能是 Ctrl+F 的也可能是 Ctrl+B
 
Google
 

脱壳_esp定律原理

本帖最后由 zf616545 于 2014-10-2 22:14 编辑ESP定律算是我们在脱壳当中最常使用的方法之一,也特别适合像我一样的新手!而今天文章说的是ESP脱壳的原理和分析!只有知道原理了,...
  • qq1841370452
  • qq1841370452
  • 2017年02月03日 10:47
  • 427

ESP定律脱壳详解

在我们开始讨论ESP定律之前,我先给你讲解一下一些简单的汇编知识。    1.call    这个命令是访问子程序的一个汇编基本指令。也许你说,这个我早就知道了!别急请继续看完。    call...
  • wyt4455
  • wyt4455
  • 2013年03月29日 17:22
  • 608

脱壳_esp定律操作

esp定律 有 Pushad  Call ASPack_2.0101300A   走到 这行 esp是红色的 只有esp是红色的  选中esp  在数据窗口中跟随   然后选...
  • qq1841370452
  • qq1841370452
  • 2017年02月03日 10:53
  • 84

【图】用ESP定律脱壳

用堆栈平衡定律脱壳【附图】 用PEiD查壳,看【图1】  用OD载入,【图2】,注意ESP的值变化  F8单步,来到这,看见ESP值变化,在命令窗口中...
  • vLinker
  • vLinker
  • 2014年08月31日 20:34
  • 335

简单脱壳教程笔记(5)---手脱Nspack壳

本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。        ximo早期发的脱壳基础视频教程 下载地址如下:            http://down.52pojie.cn/%E...
  • oBuYiSeng
  • oBuYiSeng
  • 2016年03月19日 08:23
  • 1096

【灌水】天草逆向, esp定律脱壳

纯属灌水文章。今天随便看了一下天草高级视频。觉得讲得一般吧,题目是ip验证的,但是关于ip验证的相关的东西一个也没讲。是纯粹的破解。自己拿程序来试吧,发现没有服务端,完全不能通信实验。 期间谈到的所...
  • ls1160
  • ls1160
  • 2014年12月16日 13:21
  • 630

关于几种常用的脱壳方法总结

最近一直在学习壳的破解,和大家分享一下几种常用的脱壳方法 1.esp定律 使用PEID查壳,了解壳的属性 载入OD,F8单步运行,注意寄存器的窗口 这个时候会发现只有ESP后面对应得数据为红色,我们就...
  • xiaoyuai1234
  • xiaoyuai1234
  • 2016年05月04日 08:47
  • 1163

简单脱壳教程笔记(10) --- 手脱EXE32PACK壳

本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9466056 ...
  • oBuYiSeng
  • oBuYiSeng
  • 2016年04月16日 21:40
  • 2787

常用脱壳方法

一、脱壳基础知识   1、脱壳的概念   在第三章中讲了加壳的概念,与加壳技术相对的就是脱壳技术了。脱壳就是将已经加壳的程序从壳中剥离出来。既然能给程序进行加壳,那也会有相应的脱壳方法。尽管理在有...
  • ultimater
  • ultimater
  • 2015年04月16日 16:10
  • 1431

ESP定律的原理及其适用范围

一.准备知识 在我们开始讨论ESP定律之前,我先给你讲解一下一些简单的汇编知识。 1.call 这个命令是访问子程序的一个汇编基本指令。也许你说,这个我早就知道了!别急请继续看完。call真正的...
  • D_R_L_T
  • D_R_L_T
  • 2017年07月07日 09:21
  • 123
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:利用ESP定律脱壳
举报原因:
原因补充:

(最多只允许输入30个字)