逆向入门之使用ESP定律脱壳

最新推荐文章于 2022-07-03 00:11:10 发布
最新推荐文章于 2022-07-03 00:11:10 发布
阅读量1.3k 收藏 8
点赞数 1
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a3320315/article/details/105290400
版权

使用ESP定律脱壳实战

查壳

在这里插入图片描述

载入OD

  • 首先F8
    在这里插入图片描述

    在这么多寄存器中,只有ESP是红色的,则可以使用ESP定律来脱壳

  • 选择好ESP地址,然后右键,在数据窗口中跟随
    在这里插入图片描述
    这个时候就来到了ESP指定的地址
    在这里插入图片描述
    然后选择几个数据(多少无所谓)
    在这里插入图片描述
    最右边三个选项随便选,都无所谓

    然后点击运行,这个时候程序就会停在我们设置好的硬件断点上
    在这里插入图片描述

    然后删除硬件断点
    在这里插入图片描述

    然后一直F8 知道出现这个页面
    在这里插入图片描述
    然后右键->分析->从模块中删除分析
    在这里插入图片描述
    然后右键->用OllyDump脱壳调试进程
    在这里插入图片描述
    复制修正值
    在这里插入图片描述

LordPE

在这里插入图片描述
在这里插入图片描述

PE函数修复

在这里插入图片描述
在这里插入图片描述
这儿为刚才复制的修正值


在这里插入图片描述
点击自动查找和获取输入表,然后点击显示无效函数,如果有无效函数就删除无效函数,然后点击修复转存文件

在这里插入图片描述
这儿选择我们用LordPE导出的文件

绕过自校验

由于许多壳都有自校验,会自动检测文件大小,如果不同会自动退出,所以我们打不开文件,这儿我们就需要绕过自校验

设置断点

在这里插入图片描述
点击运行,程序停在文件大小检测函数
在这里插入图片描述

然后点击反汇编窗口跟随,就会自动跳转到这个函数

然后在第一行下断点,然后删除我们第一次设置的断点,即获取文件大小的那个断点
然后F9运行程序
这个时候就有一系列比较,我们只需要修改一些程序,比如说NOP不跳转之类的~~
在这里插入图片描述

这个时候再保存文件就可以了~~

这样就完成了所有工作

HyyMbb
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第二课_ESP定律详解&LordPE脱壳
07-15
第二课_ESP定律详解&LordPE脱壳入门指导
破解入门(五)-----实战"ESP定律法"脱壳
系统运维
06-10 629
ESP定律法的步骤 ESP定理脱壳ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了!) (1)开始就点F8,注意观察OD右上角的寄存器中ESP有没突现(变成红色)(这只是一 般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) (2)在命令行下:ddXXXXXXXX(指在当前代码中的ESP地址,或者是hrXXXXXXXX), ...
逆向工程学习笔记(5):fmul qword [esp + 4]
嵌云阁
03-29 492
接下来看fmul指令: 0x40002046 fmul qword [esp + 4] 功能很简单,将ST0寄存器里的数和栈中的数相乘,再将结果放入ST0寄存器。 这里的ST0寄存器的值来自于上一条FLD指令,因此我们沿用上一条指令创建的st0_0寄存器表示原有的值,再新建一个变量st0_1来保存结果。 再创建一个Local_0x0004的局部变量来表示[esp + 4]。 因此这条汇编语句转换成C++就可以表示为: /* 0x40002046 */ st0_1 = st0_...
零基础逆向工程29_Win32_03_ESP寻址_定位回调函数_子窗口_消息处理函数
weixin_30438813的博客
10-19 456
1 Win32应用程序入口识别 思路:根据WinMain的四个参数,由调用顺序,知道最后压栈的是hInstance句柄(也就是WinMain函数的第一个参数,其值等于ImageBase),根据反汇编,则判断压栈参数是GetModuleHandle函数的返回值,即可找到Win32应用入口。 004011AC |> \50 push eax 004011AD |. F...
ESP定律脱壳详解
juce的专栏
03-29 5262
在我们开始讨论ESP定律之前,我先给你讲解一下一些简单的汇编知识。    1.call    这个命令是访问子程序的一个汇编基本指令。也许你说,这个我早就知道了!别急请继续看完。    call真正的意义是什么呢?我们可以这样来理解:1.向堆栈中压入下一行程序的地址;2.JMP到call的子程序地址处。例如: 00401029 .   E8 DA240A00 call 004A3508
OD动调之脱壳使用ESP定律寻找
最新发布
09-03
在本场景中,我们关注的是“OD动调之脱壳使用ESP定律寻找”,这通常指的是利用OllyDbg(OD)这样的动态调试器来分析和移除程序的保护壳。"mazeupx"标签暗示了我们要处理的是一个使用UPX壳的程序,UPX是一种广泛...
iOS逆向工程使用dumpdecrypted工具给App脱壳
09-01
总的来说,iOS逆向工程中使用`dumpdecrypted`工具进行App脱壳是一个复杂但必要的过程。它允许开发者或研究人员查看App内部的代码结构,进行深入分析,发现潜在的安全漏洞或理解其工作原理。然而,这种行为应遵循合法...
逆向破解万能脱壳工具.rar
03-31
逆向破解万能脱壳工具,常见壳都能自动脱
IDA pro逆向工具的使用以及逆向分析程序实例操作
04-18
IDA pro逆向工具的初步入门,此资源是针对IDA pro的功能实现的一些小案例,不仅是代码编写实现也更注重内容上的需求分析和方案设计,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
逆向crackme之ESp定律脱壳
qq_58970968的博客
06-19 775
1 前言此题来自攻防世界高手进阶区的一道逆向题目 crackme,通过对可执行程序进行脱壳,该壳为北斗的壳,涉及到ESP定律,大体流程是找到call处的ESp,在数据窗口中跟随,下个硬件访问断点,就到了OEP处,用ODdump脱壳就行了。脱壳完成之后使用IDA打开查看main函数里面的伪代码写脚本,最后得到flag,这里面涉及到三个常用逆向工具的使用,exeinfope,onllydbg ida;2 工具介绍OllyDugOLLYDBG是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring
逆向学习 | OD And ESP(一)
萌狼蓝天の技术栈
05-04 277
知识储备 弹信息框 1.MessageBox A/W(消息框) 弹出网页 2.ShellExecute A/W(壳执行) 3.WinExec 4.CreateProcess A/W(创建进程) 5.CreateThread(创建新线程) 注册表操作 6.RegCreateKeyEx A/W (注册创建密钥) 7.RegOpenKeyEx A/W(注册打开密钥) 8.RegDeleteKeyEx A/W(注册删除密钥) 解决内容: 启动软件后,软件自动打开一个网页 工具: C32Asm 解.
脱壳简单总结
weixin_45880501的博客
07-06 3228
title: 脱壳 date: 2021-07-05 14:37:06 tags: RE 脱壳 1.概述: 1.壳: 一:加壳的目的:为了隐藏程序真正的OEP(入口点),防止被破解。 二:加壳软件是一种在编译好可执行文件之后,为了一些特定的需求,而做的一些事情,常见需求有: ​ 有一些版权信息需要保护起来,不想让别人随便改动 ​ 为了让程序小一点,从而方便使用(把可执行文件进行压缩使用) ​ 给木马等软件加壳以避免杀毒软件 三:壳的加载过程: ​ 一般壳的装载过程: ​ (1)获取壳所需要使用的.
OD快捷键
Xdercoding
04-03 754
F7   : 单步步进,遇到CALL跟进 F8   : 单步步过,遇到CALL路过,不跟进 Ctrl+F9:直到出现RET指令时中断。(当位于某CALL中时,这时想返回到调用这个CALL的地方时使用该快捷键) Alt+F9:若进入系统领空,此命令可瞬间回到应用程序领空 F9:运行程序 Ctrl+F7/Ctrl+F8:直到用于按Esc键、F12键或遇到断点时停止     Ctr
ESP脱壳定律
不凡乃大的博客
07-03 1352
ESP脱壳定律
ESP定律脱壳(吾爱复现)
weixin_49764009的博客
12-21 2642
ESP定律法简介 ESP定理脱壳ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了!) 1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突变成红色。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) 2.在命令行下:dd XXXXXXXX(指在当前代码中的ESP地址,或者是hr XXXXXXXX),按回车! 3.选中下断的地址,断点—>硬件访—>WORD断点。 4.按一下F9运行程序,直接来到了跳转处,按下F8,到达程
汇编基本指令复习,以及逆向中如何跟esp ,ebp参数
南的专栏
12-13 3827
mov eax , ebx   // eax = ebx lea eax , [ebx + 30] // eax = ebx + 30 push pop  //入栈,出栈 pushax popax //全部入栈,全部出栈 add eax,5 // eax += 5 sub eax, 5 //eax -= 6 inc eax  // eax += 1 mul  //乘法 div  /
OD调试常见断点及原理
王二娃的生活的博客
09-28 9884
OD调试时,常见的断点有int3、硬件断点、内存断点、消息断点、条件断点、条件记录断点等1、int 3断点原理:改变断点地址处的第一个字节为CC指令,在OD中不显示 缺点:容易被检测到,如检测MessageBoxA处CC断点 优点:可以设置无数个 OD快捷键F2就是利用这个特性FARPROC Uaddr; BYTE Mark = 0; (FARPROC&)Uaddr=GetProcAddres
Ollydbg中F8的Bug
weixin_30668887的博客
08-19 424
用Ollydbg调试以下代码,可以展示出其F8单步步过所存在的一个Bug: #include <windows.h> int main() { CONTEXT ctx; ctx.ContextFlags = CONTEXT_FULL | CONTEXT_DEBUG_REGISTERS; GetThreadContext(GetCurrentT...
手动脱壳---ESP定律
Casuall的博客
06-04 1075
首先这篇文章不是讲ESP定律的原理,第一次接触ESP定律,跟着教程做了一遍,做个笔记,记录手动脱壳的过程。 首先载入OD,F8执行到pushad下面的call,然后观察寄存器,如果只有ESP和EIP是红色的,那么可以用ESP定律。 右键ESP的数据,选择数据窗口中跟随,可以看到左下角的数据窗口发生了跳转。 然后选择第一个数据 --> 右键 --> 断点 --> 硬件访问 --&...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值