手动脱壳---ESP定律

最新推荐文章于 2023-09-17 13:06:36 发布
最新推荐文章于 2023-09-17 13:06:36 发布
阅读量1k 收藏 3
点赞数
分类专栏: Reverse 文章标签: 手动脱壳 ESP定律
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Casuall/article/details/90765279
版权

首先这篇文章不是讲ESP定律的原理,第一次接触ESP定律,跟着教程做了一遍,做个笔记,记录手动脱壳的过程。

首先载入OD,F8执行到pushad下面的call,然后观察寄存器,如果只有ESPEIP是红色的,那么可以用ESP定律

右键ESP的数据,选择数据窗口中跟随,可以看到左下角的数据窗口发生了跳转。

upack0.png

然后选择第一个数据 --> 右键 --> 断点 --> 硬件访问 --> Byte(Word和Dword也行)

upack1.png

然后可以通过调试菜单硬件断点来查看刚才下的断点。

upack2.png

下完断点后点击运行,然后程序停在一个popfd的指令,下面有一个大的跳转F8执行。

upack3.png

会出现下图的界面,我们右键 --> 分析 --> 从模块中删除分析。

upack4.png

删除分析后就可以用OllyDump脱壳调试进程进行脱壳保存了。

upack5.png

下面是脱壳之前和脱壳之后,程序用IDA打开的对比,可以明显发现二者之间的区别。

upack6.png

Casuall
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
脱壳(一) —— ESP定律
weixin_44122225的博客
11-20 2175
1.PUSHAD (压栈) 代表程序的入口点, 2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近 3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP/FOEP),只要我们找到程序真正的OEP,就可以立刻脱壳。 一、ESP定理脱壳 (通过下ESP硬件访问断点找到OEP) 1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突现变成红色。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) 2.选中ESP,进行数据访问
通达信文件解密-脱壳
11-06
通达信文件解密-脱壳版 可以解密和加密通达信embui.dai和Connect.cfg等文件
OllyDbg 使用笔记 (十八)
billvsme的专栏
09-08 1391
OllyDbg 使用笔记 (十八) 参考 书:《加密与解密》 视频:小甲鱼 解密系列 视频 这次这个程序跟原来的程序不一样,它会对自身的代码进行加密解密。 程序运行前有一个nag窗口,破解目标去除这个nag窗口。 图片1 OD加载这个程序,搜索nag窗口的文字。可以找到: 图片2 但是在此处下断点后,重新运行程序,发现程序没有在下断点的地方停下来。分析可以知道,这个程序有些狡诈,我们搜到的那个貌似产生nag窗口的代码可能是用来骗我们的。真正的代码可能被加密了
逆向学习 | OD And ESP(一)
萌狼蓝天の技术栈
05-04 256
知识储备 弹信息框 1.MessageBox A/W(消息框) 弹出网页 2.ShellExecute A/W(壳执行) 3.WinExec 4.CreateProcess A/W(创建进程) 5.CreateThread(创建新线程) 注册表操作 6.RegCreateKeyEx A/W (注册创建密钥) 7.RegOpenKeyEx A/W(注册打开密钥) 8.RegDeleteKeyEx A/W(注册删除密钥) 解决内容: 启动软件后,软件自动打开一个网页 工具: C32Asm 解.
手动脱壳_ESP定律
最新发布
m0_74091653的博客
09-17 173
UPX是一种常见的压缩壳。通过PEID检测到是UPX的壳的话,可以用如下四种方式来脱壳:单步跟踪法、ESP定律、内存镜像法、POPAD查找法1.单步跟踪法执行单步跟踪程序,当发现大跨度跳转如JMP、JE、RETN等指令出现时,程序入口点(Original Entry Point,OEP)可能就在附近。2. ESP 定律法。
ESP脱壳定律
不凡乃大的博客
07-03 1287
ESP脱壳定律
ASPROTECT 1.22-1.32 beta手动脱壳
09-02
ASPROTECT 1.22-1.32 beta手动脱壳
软件脱壳-教程 反翻译
08-28
软件脱壳-教程 反翻译
脱壳第一讲,手工脱壳ASPack2.12的壳.ESP定律-附件资源
03-05
脱壳第一讲,手工脱壳ASPack2.12的壳.ESP定律-附件资源
脱壳实例-易语言
12-07
互联网资源,脱壳实例-易语言:易语言编译无壳程序(独立编译和非独立编译)
菜鸟也能使用ollydbg修改acad的模块去掉教育版印记
08-20
用图片的方式讲解使用od去掉cad教育版印记的方法
ESP定律脱壳(吾爱复现)
weixin_49764009的博客
12-21 2367
ESP定律法简介 ESP定理脱壳ESPOD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了!) 1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突变成红色。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) 2.在命令行下:dd XXXXXXXX(指在当前代码中的ESP地址,或者是hr XXXXXXXX),按回车! 3.选中下断的地址,断点—>硬件访—>WORD断点。 4.按一下F9运行程序,直接来到了跳转处,按下F8,到达程
OD快捷键
Xdercoding
04-03 716
F7   : 单步步进,遇到CALL跟进 F8   : 单步步过,遇到CALL路过,不跟进 Ctrl+F9:直到出现RET指令时中断。(当位于某CALL中时,这时想返回到调用这个CALL的地方时使用该快捷键) Alt+F9:若进入系统领空,此命令可瞬间回到应用程序领空 F9:运行程序 Ctrl+F7/Ctrl+F8:直到用于按Esc键、F12键或遇到断点时停止     Ctr
ESP定律脱壳详解
juce的专栏
03-29 5167
在我们开始讨论ESP定律之前,我先给你讲解一下一些简单的汇编知识。    1.call    这个命令是访问子程序的一个汇编基本指令。也许你说,这个我早就知道了!别急请继续看完。    call真正的意义是什么呢?我们可以这样来理解:1.向堆栈中压入下一行程序的地址;2.JMP到call的子程序地址处。例如: 00401029 .   E8 DA240A00 call 004A3508
OD脱壳八大法
老北京砸酱锤的博客
06-22 3640
一、esp定律法 进入程序,第行为pushad 单步步过(F8)一下,查看寄存器,当8个寄存器只有esp为红色时,右击红色地址,选择数据窗口中跟随。在左下角的窗口中可以看到,自动跟随到红色地址。 选中若干数据,右击选择断点-硬件访问-(byte,word,dword 任意选择)注:只是访问的字节数不同。 运行(F9)到达断点处,单步步过(F8)几下, 进入到不是不认识的代码地方 ,右键点击分析-从模块中删除分析。 在当前窗口右键选择dollydump脱壳调试进程,分别脱壳两次,不同之处是重建输入表
upx手动脱壳esp定律手动脱壳
__ys的博客
06-02 1260
ESP定律手动脱壳 拿到有upx壳的文件后,首先用xdbg打开。 然后F9运行到用户代码(有upx壳文件一般为pushed) 然后F8单步运行一下,发现右边寄存器esp变红了,因此此处可以使用esp定律 接下来按图示方法: F9运行 发现popad,它的出现标志着我们的程序可能到达OEP,经验证下方的jmp跳转即为OEP 在jmp处下断点,F9运行,F8单步运行,到达OEP 之后用Scylla插件进行脱壳,具体步骤如下: 第一步点击IAT Autosearch 第二步点击Get Import
大端序和小端序
热门推荐
Casuall的博客
08-05 2万+
字节存储顺序主要分为大端序(Big-endian)和小端序(Little-endian),区别如下 Big-endian:高位字节存入低地址,低位字节存入高地址 Little-endian:低位字节存入低地址,高位字节存入高地址 例如,将12345678h写入1000h开始的内存中,以大端序和小端序模式存放结果如下 一般来说,x86系列CPU都是Little-endian字节序,PowerP...
通过一个例子来介绍OD的简单使用
Casuall的博客
12-04 3461
OllyDbg是一个32位的动态调试器,在平常做逆向的题中用的比较多,下面用bugku一个简单的例子Eazy-Re来介绍一下OllyDbg的使用。 首先打开程序,看一下是干什么的,他提示你输入flag,这里我随便输入几个字母,提示我不正确。 我们用OD打开程序,会看到下面的这个样子,如果没接触过OD的人可能直接被劝退了,这是啥乱七八糟的,别急,一点点来看,打开程序后会出现5个面板(我更喜欢称之为...
通过一个例子来介绍IDA的简单使用
Casuall的博客
09-02 3120
通过一个简单的题来了解一下IDA的基本操作,题目是bugku的一个简单的逆向,Easy_re。 将题目下载下来,发现是一个exe可执行文件,先运行一下看看 [外链图片转存失败(img-ub5SlY5B-1567387294256)(https://i.loli.net/2019/09/01/bU5XpG3EYDOjigP.png)] 有一些字符串提示,让你输入一个字符串,提示输入flag,随便输入...
简述ESP定律脱壳中的应用。
06-10
ESP定律是指在函数调用时,栈指针ESP的值会随着参数压栈和返回地址压栈而发生变化。在脱壳中,我们可以利用ESP定律来定位加壳程序的OEP(Original Entry Point),即程序的入口点。 具体来说,我们可以通过在加壳程序中设置断点,然后在断点处查看ESP的值,找到调用加壳壳之前的ESP的值,从而推断出OEP的地址。这是因为,在调用加壳壳之前,程序的栈指针ESP指向的是原始程序的栈帧,而在加壳壳中,栈指针ESP的值会随着加壳壳代码的执行而发生变化。因此,通过查看ESP的值,我们可以找到加壳之前的ESP值,从而得到OEP的地址。 ESP定律脱壳中的应用还包括了调试器中的寄存器监视功能,我们可以将ESP寄存器设置为监视对象,当ESP寄存器的值发生变化时,调试器会自动跳转到相应的代码行,帮助我们更方便地定位OEP。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值