寻找OEP

最新推荐文章于 2022-10-19 21:42:49 发布
最新推荐文章于 2022-10-19 21:42:49 发布
阅读量712 收藏 1
点赞数
分类专栏: 脱壳
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/N1an_/article/details/47414863
版权

脱壳的首要任务是寻找程序的OEP,找到程序的OEP后,再利用OD插件Ollydump进行脱壳,或者利用工具LoadPE进行脱壳importREC进行修复。这里先来讲述如何寻找程序的OEP。

方法1:单步跟踪
采用F8向下跟踪的方法,遇见向下的跳转继续,遇见向上的跳转(其实就是循环),F4运行到鼠标处走出循环。对于UPX壳或aspack壳直到遇到popad指令,再继续F8很快就会到达程序的OEP。

方法2:ESP定律
F8一次,观察寄存器,改变的变量(为红色),即ESP,右键->数据窗口中跟随,在数据窗口中看到已经跟随到ESP所显示的地址处,然后在该位置上设置断点,运行程序F9,观察断点处附件是否出现popad指令,若出现单步F8便可找到程序的OEP。

方法3:一步直达

右键查找->命令,键入popad,整个块不勾选,一直下一个直到找到要找的那个popad


方法4:2次内存镜像

alt+M找到内存窗口或直接点任务栏上M,在程序领空的资源段.rsrc下硬件断点,F9运行断住后再在内存窗口处00401000(不确定是不是一直是这个)再次下断,运行便找到popad。

方法5:模拟跟踪
alt+M找到内存窗口,找到关键内容SFX,找到其对应的地址,在命令处键入tc eip<xxxxxx(地址)运行后自动追踪。aspack壳

方法6:SFX

选项->调试设置->SFX,选择块方式跟踪真正入口处。aspack壳



总结:前三种方式自己手动寻找

后两种利用OD的功能自动寻找出程序的OEP

N1an_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
常见寻找OEP的方法
03-25
现在很多软件都加入了壳 希望这个能帮助新手更容易的找到壳的入口
脱壳笔记-寻找OEP方法总结
走在成长的路上
01-03 7427
详解手动跟踪法、ESP定律方式、内存二次断点法的原理与使用
第42章-ACProtect V1.09脱壳(寻找OEP,绕过硬件断点的检测,修复Stolen code)1
08-03
我们可以利用OD的Debugging options-SFX功能,选择Trace real entry blockwise(inaccurate)来尝试找到OEP。不过,有时OEP可能被"stolen bytes"所影响,这是壳层用来混淆真实入口点的一种技术。 要找到stolen bytes...
ACProtect对OEP的处理
07-10
逆向工程师通常会寻找这个点来分析程序的执行流程。然而,加壳技术通过改变OEP的位置和添加额外的保护层,使得这个过程变得更加复杂。 ACProtect的加壳机制是基于动态地址计算的,它不直接硬编码OEP到壳代码中,...
寻找真正的入口(OEP)--广义ESP定律
05-07
寻找真正的入口(OEP)--广义ESP定律
显示.exe文件的OEP
04-30
6. **静态分析**:对于更复杂的文件,可能需要静态分析PE文件的汇编代码,寻找调用或跳转指令,来确定OEP。 7. **计算OEP**:结合动态和静态分析的结果,最终确定OEP的准确位置。 这个VC++ 6.0工程可能包含了一个...
OEP大全,快速查看不同编译语言编写的程序的OEP特征工具
01-16
快速查看不同编译语言编写的程序的OEP特征工具,就像字典一样,需要哪个查哪个。点击编译语言按钮,就会出来相应的OEP特征
免杀破解利器-OEP查找工具-OepFinder汉化版
05-24
免杀破解利器-OEP查找工具-OepFinder汉化版免杀破解利器-OEP查找工具-OepFinder汉化版
七种OD查找oep的方法
07-15
七种OD查找oep的方法 单步跟踪法 ESP定律法 内存镜像法 一步到达OEP 最后一次异常法 模拟跟踪法 “SFX”法
寻找OEP的几种常用方法
/0
08-15 2620
寻找OEP的几种常用方法
使用ESP定律查找程序OEP
iqiqiya的博客
04-11 1018
 遇到UPX壳 使用 ESP定律 找到程序OEP 载入OD  F8向下单步走 走了一步发现ESP寄存器变红 右键ESP 选择HW break [ESP] 点击菜单栏 调试à硬件断点 可以看到已经下好了断点  F9运行一次 断在了这里   接着一步F8即可到达OEP   关于例子下载及之后怎样脱壳 可以看我的这篇帖子160个crackme之005ajj.2破解思路及手脱UPX...
OEP程序的入口点查找
qq_43185879的博客
04-21 256
OEP程序的入口点查找 OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP), 只要我们找到程序真正的OEP,就可以立刻脱壳。 PUSHAD (压栈) 代表程序的入口点, POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个,OEP就在附近。 常见寻找OEP脱壳的方法 方法一: 1.用OD载入,不分析代码! 2.单步向下跟踪F8,是向下跳的让它实现 3.遇到程...
VMP3.5 脱壳--查找OEP
热门推荐
被遗弃的庸才博客
01-19 1万+
背景 无 VMP的介绍 相信看到这篇文章的人都听过或了解过vmp,基本遇到vmp加壳的程序基本就是右键回收站,但是如果只是简单的加了一层vmp壳的话,还是可以分析的。 vmp加壳方式 下面是程序代码 int main() { printf("222222222\n"); system("pause"); return 0; } 然后把随机基地址关一下,方便之后查找main函数 这里说明一下,目前大部分人加壳都会虚拟化代码段,这样的话基本上就需要右键回收站了,主要是核心代码被vm
【脱壳-寻找OEP】通过内存定位OEP实现脱壳
最新发布
这个人很懒什么都没有留下
10-19 464
注意:不需要去断加壳程序原本的代码断,因为他本身的代码断是做解密 还原 写入的,没必要在他本身做断点。这次用的也是UPX的壳,载入特殊od后可以看到upx的壳是在我们原始oep的代码外面,UPX0里面才包含我们的原始入口点,UPX1是不包含的,UPX1这块就对 解密 还原 写入这三个步骤进行操作,然后写入到UPX0这个输入表中,也就是我们真实的OEP入口代码地址。设置完后F9运行,可以发现他断在了我们的入口点处,代码已经解密完成了,加壳程序已经还原了他的代码,这也是还原后执行的第一行代码段被我们断了下来。
脱壳 OEP 程序的入口点
比尔丁子
03-02 3570
OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP), 只要我们找到程序真正的OEP,就可以立刻脱壳。 PUSHAD (压栈) 代表程序的入口点        POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个OEP就在附近拉。 常见寻找OEP脱壳的方法  方法一:  1.用OD载入,不分析代码!  2.单步向下跟踪F8,是
定位OEP:一步直达法与UPX/ASPACK壳
对于这种壳,需要寻找更精细的线索,如CALLEAX、CALLEBX或JMPEAX等指令,因为它们可能会将OEP的地址存储在寄存器中,通过调用或跳跃到相应寄存器来访问。 OllyDbg提供了搜索ALLCOMMANDS的功能,这使得逆向工程师...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值