ESP定律脱壳

已于 2024-08-26 16:10:52 修改
阅读量147 收藏 3
点赞数 3
文章标签: 网络安全
于 2024-08-21 23:53:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2303_81165358/article/details/141404945
版权

原理:

在程序执行过程中,尤其是当函数调用发生时,ESP的值会发生变化,以反映栈上新的栈帧的创建。当函数返回时,ESP的值会恢复到函数调用之前的值,以保持栈的平衡。这就是堆栈平衡定律,也称ESP定律。在加了壳的软件中,程序刚开始加载时,首先会执行解密程序,而ESP栈顶指针会在解密程序执行完毕后,跳回到真正的程序时,有一个大幅度的跳转,这个跳转过程中ESP指针会回到执行解密程序之前的值。根据这一特性,通过跟踪ESP指针的归位时刻,可以找到解密程序的结束位置,进而找到程序的入口点(EP点),从而实现脱壳。

工具准备:

下载x64dbg压缩包(吾爱破解里面有),解压后打开

打开release文件

运行x96dbg.exe后桌面就会有x64dbg和x32dbg。打开X64dbg和x32dbg

选项——>选项,只打开入口断点

脱壳步骤:

用xdbg打开

程序停在了入口地址,按F8

此时ESP改变了,在ESP的位置按右键,选择在内存窗口中转到,然后选内存1

选完后左下角会跳的ESP指向的位置

选定开始的四个字节,右键,断点,硬件访问,4字节,这样就下好了断点。

然后程序继续执行,会停在断点处

此时看断点下方不远处有个jmp语句,应该就是跳转到程序入口(OEP),所以F8继续执行直到在jmp语句跳转

跳转后使用scylla插件

点这个Dump,就会生成一个exe文件,查壳试试是否脱壳成功

显示没有壳了,那么脱壳成功。

神明亦是罪人
关注
脱壳(一) —— ESP定律
weixin_44122225的博客
11-20 2249
1.PUSHAD (压栈) 代表程序的入口点, 2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近 3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP/FOEP),只要我们找到程序真正的OEP,就可以立刻脱壳。 一、ESP定理脱壳 (通过下ESP硬件访问断点找到OEP) 1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突现变成红色。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) 2.选中ESP,进行数据访问
利用ESP定律进行脱壳
ChuMeng1999的博客
11-11 904
目录预备知识壳的概念UPXPEiDOllyDbg实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 基础的汇编语言命令以及对汇编程序的基本审计能力。 壳的概念 加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段。加壳过的程序可以直接运行,但是不能查看源代码。要经过脱壳才可以查看源代码。 加壳是利用特殊的算法,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过Windows加载器载入内
【图】用ESP定律脱壳
qingye
10-19 2836
用堆栈平衡定律脱壳【附图】用PEiD查壳,看【图1】 用OD载入,【图2】,注意ESP的值变化 F8单步,来到这,看见ESP值变化,在命令窗口中输入【图3】 继续F8,单步,走到我们想到的地方【图4】现在到了OEP了,接下来脱壳【图5】 看清【图6】,记下修正值,如果程序需要修复要用到这个值 用PEiD查看已经脱壳的程序【图7】 用修复软件,先运行没有脱壳的程序,然后选中他的进程【图8】
ESP定理手动脱壳
最新发布
2301_81223471的博客
03-15 522
本人还是一个正在摸索的小白,可能会有说错的地方,请大家多加指点!本人这篇文章可以让大家了解如何快速的过掉简单的壳,并没有讲解壳的执行流程等知识。使用ESP定律脱壳之前 ,我们要先知道什么是ESP定律ESP是汇编中的栈顶寄存器,存放着栈顶的地址,栈顶和栈底有一个特性,那就是堆栈平衡,尤其是在调用函数的时候表示的尤为明显。
ESP定律脱壳(吾爱复现)
weixin_49764009的博客
12-21 2775
ESP定律法简介 ESP定理脱壳ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了!) 1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突变成红色。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) 2.在命令行下:dd XXXXXXXX(指在当前代码中的ESP地址,或者是hr XXXXXXXX),按回车! 3.选中下断的地址,断点—>硬件访—>WORD断点。 4.按一下F9运行程序,直接来到了跳转处,按下F8,到达程
脱壳简单了解
akdelt的博客
01-25 1556
为了防止程序被非法修改或反编译,开发人员通常会在二程序中加入一段如同保护层的代码,使得原程序代码失去了原本的面目,这段如同保护层的代码和自然界的壳在功能上十分相近,因此把这样的程序称之为“壳”。壳一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。
第三课_ESP定律脱壳&简单爆破
07-15
第三课_ESP定律脱壳&简单爆破 入门转高手课程系列
详细介绍了脱壳常用的esp定律
10-03
### 详细解析ESP定律及其在脱壳技术中的应用 #### ESP定律概述 ESP定律是反汇编领域中一种常用的技术手段,特别是在脱壳过程中扮演着重要角色。它主要用于定位原始入口点(Original Entry Point,简称OEP),即被...
脱壳第一讲,手工脱壳ASPack2.12的壳.ESP定律-附件资源
03-05
脱壳第一讲,手工脱壳ASPack2.12的壳.ESP定律-附件资源
ESP脱壳定律
不凡乃大的博客
07-03 1364
ESP脱壳定律
ESP定律手工脱壳步骤
09-26 1485
第一步:查壳第二步:用OD载入。第三步:按F8单步向下走,注意,当右边的ESP(堆栈指针寄存器),和EIP(    指令指针寄存器)同时变红时,就停下。第四步:记下ESP地址,并在左下角的Commanc中输入 dd ESP所对应的地址。    并回车。第五步:在数值下面单击右键--断点----硬件访问---WORD。第六步:按F9运行来到断点。第七步:然后在按F8单步向下走,注意:一个大跳转就来到
脱壳_esp定律操作
02-03 782
esp定律 有 Pushad  Call ASPack_2.0101300A   走到 这行 esp是红色的 只有esp是红色的  选中esp  在数据窗口中跟随   然后选中 000DFF64 地址后的hex数据 只要是这个地址开头后的10000个都行 选中 右键 断点 硬件访问 选byte word dword 三个选哪个都行 f9  运行 跑起来 断下
破解入门(五)-----实战"ESP定律法"脱壳
系统运维
06-10 641
ESP定律法的步骤 ESP定理脱壳ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了!) (1)开始就点F8,注意观察OD右上角的寄存器中ESP有没突现(变成红色)(这只是一 般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) (2)在命令行下:ddXXXXXXXX(指在当前代码中的ESP地址,或者是hrXXXXXXXX), ...
ESP定律脱壳详解
juce的专栏
03-29 5327
在我们开始讨论ESP定律之前,我先给你讲解一下一些简单的汇编知识。    1.call    这个命令是访问子程序的一个汇编基本指令。也许你说,这个我早就知道了!别急请继续看完。    call真正的意义是什么呢?我们可以这样来理解:1.向堆栈中压入下一行程序的地址;2.JMP到call的子程序地址处。例如: 00401029 .   E8 DA240A00 call 004A3508
[逆向破解]使用ESP定律手动脱-中国菜刀-壳
wangyunfeis的博客
08-21 5275
0x00前言:     ESC定律脱壳一般的加壳软件在执行时,首先要初始化,保存环境(保存各个寄存器的值),一般利用PUSHAD(相当于把eax,ecx,edx,ebx,esp,ebp,esi,edi都压栈),当加壳程序的外壳执行完毕以后,再来恢复各个寄存器的内容,通常会用POPAD(相当与把eax,ecx,edx,ebx,esp,ebp,esi,edi都出栈),通过跨区段的转移来跳到程序的OE
破解入门(三)-----脱壳的常用方法
系统运维
06-09 1449
什么是壳 大家应该先明白“壳”的概念。在自然界中,我想大家对"壳"这东西应该都不会陌生了,植物用它来保护种子,动物用它来保护身体等等。同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然(当然后来也出现了所谓的“壳中带籽”的壳)。由于这段程序和自然界的壳在...
逆向入门之使用ESP定律脱壳
a3320315的博客
04-03 1365
使用ESP定律脱壳实战 查壳 载入OD 首先F8 在这么多寄存器中,只有ESP是红色的,则可以使用ESP定律脱壳 选择好ESP地址,然后右键,在数据窗口中跟随 这个时候就来到了ESP指定的地址 然后选择几个数据(多少无所谓) 最右边三个选项随便选,都无所谓 然后点击运行,这个时候程序就会停在我们设置好的硬件断点上 然后删除硬件断点 然后一直F8 知道出现这个页面 然后右键...
OEP和ESP定理
java开发指南博客 【转载】
04-07 222
OEP   OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP), 只要我们找到程序真正的OEP,就可以立刻脱壳。 PUSHAD (压栈) 代表程序的入口点   POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个OEP就在附近拉    常见寻找OEP脱壳的方法 方法一: 1.用OD载入,不分析代码! 2.单步向下跟踪F8...
简述ESP定律脱壳中的应用。
06-10
脱壳中,我们可以利用ESP定律来定位加壳程序的OEP(Original Entry Point),即程序的入口点。 具体来说,我们可以通过在加壳程序中设置断点,然后在断点处查看ESP的值,找到调用加壳壳之前的ESP的值,从而推断出...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值