脱壳笔记

最新推荐文章于 2020-08-18 16:36:15 发布
最新推荐文章于 2020-08-18 16:36:15 发布
阅读量486 收藏
点赞数
分类专栏: 逆向 文章标签: 脱壳 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aix0321/article/details/41746749
版权
1、堆栈原理寻找OEP进行脱壳,第一次esp改变,数据窗口跟随,下硬件访问端点,F9断下地方多为jmp eax,eax即为OEP;


2、MEW之类的压缩壳,F8运行jmp XXXX,向下寻找ret下断点,F8运行至push ebp,即为OEP;


3、Alt+M,对代码段(401000)下断点;


4、FSG压缩壳,xchg典型入口点;


5、FSG压缩壳,单步F8,向下跳不向上跳,寻找OEP;


6、FSG压缩壳,调试设置(SFX) -> 字节方式跟踪真正入口处 -> Ctrl+F2 -> 调试设置(SFX) -> 停在自解压器的入口处;


7、UPX压缩壳、WinUpack压缩壳,堆栈平衡原理寻找OEP;


8、对.text区块下断。外壳会先解压代码,所以直接在.text区块设断会导致不停的断下,因此需要在代码全部解压完毕后对.text区块设断。因为外壳一般依次对text、rdata、data、rsrc区块进行解压,所以可以通过先对text后面的区块设断,断下后再对text区块设断来实现寻找OEP;

R00cky
关注
专栏目录
恶意样本脱壳-GandCrab2.0 脱壳笔记分析记录
LoopherBear的博客
05-20 772
GandCrab2.0 脱壳笔记分析记录 有人在2018年的时候就分析过了恶意样本分析,相关资料可以查看参考部分。由于里边有很多可以学习和总结的脱壳技术,因此重新分析这个样本,这篇文章暂时不做加密和勒索实际功能分析,如果要看分析样本形成勒索的过程以及相关分析报告,可以直接跳到参考部分,这篇文章主要关注的是脱壳相关的一些技术细节的分析,由于文章是我个人的一些分析和总结,因此会有一些不足,比较趋向于像我这样刚接触恶意软件分析,由于很多样本在分析前需要脱壳之后才能看到核心功能,因此这里重点关注脱壳过程,主要内容如
S恒 软件爆破 脱壳笔记
Linux_bai的博客
10-07 328
nop破解法 打开软件弹出登录窗口输入正确账号密码进入系统,输入错误账号密码提示“用户密码错误还有3次机会”输入错三次后会自动退出软件。记住关键字“密码错误”用于找到字符串。 把需要破解软件导入od,在反汇编窗口右键—中文引擎搜索—智能搜索,搜索完成之后点击右键选择find(ctrl+f)搜索字符串,输入”密码错误“进行查找。找到对应的提示密码错误的信息,双击查看反汇编代码。 右箭头”<“代表有一个跳转来到这里,输入错误的账号密码程序会跳转到账号密码错误的提示信息代码行无法进入软件。在跳转红线第一行j
简单脱壳教程笔记
A powerful and unconstrained style
08-18 8613
简介: UPX (the Ultimate Packer for eXecutables)是一款先进的可执行程序文件压缩器,压缩过的可执行文件体积缩小50%-70%,主要功能是压缩PE文件(比如exe,dll等文件),有时候也可能被病毒用于免杀.壳upx是一种保护程序。 脱壳: 工具: ExeinfoPE或PEid、OD、LordPE、ImportREConstructor 脱壳文件: 01.rmvbfix.exe 笔记: 1、使用ExeinfoPE或PEid确定是否加壳 2、脱壳
脱壳笔记-寻找OEP方法总结
走在成长的路上
01-03 7501
详解手动跟踪法、ESP定律方式、内存二次断点法的原理与使用
脱壳笔记-手工脱FSG压缩壳
走在成长的路上
12-23 2488
详解手工脱FSG压缩壳
OEP,常见OEP脱壳的方法
weixin_34342578的博客
06-01 200
OEP OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP), 只要我们找到程序真正的OEP,就可以立刻脱壳。 PUSHAD (压栈) 代表程序的入口点 POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近拉 常见寻找OEP脱壳的方法 方法一: 1.用OD载入,不分析代码! 2.单步向下跟踪F8,是向下跳的让它实现 3.遇到程序往回跳的...
32. 脱壳篇-简单带壳的程序、反调试带壳的程序(堆栈平衡原理找OEP、代码段设置断点)
墨痕诉清风的博客
03-07 745
第一个程序 OEP为46B6F9 PE头位置为46B000到46D000区间,have a nice day! 就是壳 一定要点上箭头指向处,dump改名 清除区段 ,删除壳,保存 第二个程序(市面上60%-80%)根据堆栈平衡原理寻找OEP F8后到下图位置,但并不是OEP 因为地址与PE差别大,壳伪造了我们的text,rd...
脱壳练习(2)-最新免费版梆梆加固脱壳笔记-附件资源
03-02
脱壳练习(2)-最新免费版梆梆加固脱壳笔记-附件资源
Linux 下 Upx 脱壳笔记 - 黑白网络.htm
04-19
Linux 下 Upx 脱壳笔记 - 黑白网络.htm
脱壳:OEP(即程序入口点)查找 --- 基本思路和常见方法
turbocc 因程序而激情
05-20 5520
OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP), 只要我们找到程序真正的OEP,就可以立刻脱壳。PUSHAD (压栈) 代表程序的入口点,POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个,OEP就在附近。 常见寻找OEP脱壳的方法 方法一: 1.用OD载入,不分析代码! 2.单步向下跟踪F8,是向下跳的让它实现 3.遇到程序往回跳的(包括循环),我们在下一句代码处按F4(或者右健单击代码,选择断点——运行到所选) 4.绿色线条表示跳转没实...
脱壳练习之未知壳(04)
weixin_45574485的博客
08-29 570
1.第一步,查壳,无法识别出编译语言和linker是什么 2.将文件用od打开,可以看到pushad和pushfd,f8两步之后对esp下硬件断点。 3.f9执行到刚下的断点,f8继续,会看到popad,继续f8,到下一个jmp,f8进入jmp,发现下一条指令是jmp eax,f8继续跟,这时,出现的界面是否觉得很熟悉,没错,这里就是oep,记住这个oep的地址:47148B。 4.看到...
ESP定律与内存断点
yizhenweifeng的专栏
02-13 1663
ESP定律 一.准备知识 在我们开始讨论ESP定律之前,我先给你讲解一下一些简单的汇编知识。 1.call 这个命令是访问子程序的一个汇编基本指令。也许你说,这个我早就知道了!别急请继续看完。call真正的意义是什么呢?我们可以这样来理解:   1.向堆栈中压入下一行程序的地址; 2.JMP到call的子程序地址处。 例如: 00401029.E8 DA240A00 call
OEP和ESP定理
java开发指南博客 【转载】
04-07 223
OEP   OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP), 只要我们找到程序真正的OEP,就可以立刻脱壳。 PUSHAD (压栈) 代表程序的入口点   POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个OEP就在附近拉    常见寻找OEP脱壳的方法 方法一: 1.用OD载入,不分析代码! 2.单步向下跟踪F8...
找真正的入口(OEP)--广义ESP定律
crkres9527
06-02 999
1.前言      在论坛上看到很多朋友,不知道什么是ESP定律,ESP的适用范围是什么,ESP定律的原理是什么,如何使用ESP定律?看到了我在 http://poptown.gamewan.com/dispbbs.asp?boardID=5&ID=54&page=1 调查结果发现,大家对ESP定律很感兴趣,当然因为实在是太好用了,现在我就来告诉大家什么是ESP定律,它的原理是什么
常见编程语言OEP入口整理
黑夜黎明
04-18 8938
1·链接器版本6.0 2·链接器版本5.0 3·链接器版本9.0 4·链接器4.2(此处VB5是否仍是4.2待确定) 5·链接器版本2.25 6·链接器版本12-11.0 13-12.0 15-14.0
DLL注入方式
格物致知
03-27 708
方法一、安装钩子: 1、运行A.exe,A.exe中调用SetWindowsHookEx(或将Set放入my.dll的导出函数中,此处调用该导出函数)进行钩子安装; 2、运行B.exe,当向B.exe发送相应消息时,钩子勾取消息,并调用钩子过程(位于my.dll文件中),调用钩子过程时系统便会强制将dll注入到B.exe中。 方法二、远程线程: 1、运行A.exe,直接调用CreateRe
《加密与解密》--基础篇学习笔记
格物致知
12-15 652
1、Intel体系芯片采用Little-Endian(逆序)编码方式,某些RISC架构CPU,如IBM的Power-PC采用Big-Endian(正序)编码方式; 2、ASCII是7位编码标准,第7位为0。ANSI(8位)是对ASCII的扩充,是系统预设的标准文字存储格式。Unicode(Widechars,16位)是对ASCII的扩展,原ASCII码高位扩充为0; 3、Windows 9x几
OD笔记
格物致知
12-05 638
1、字串参考:注册失败提示的字串;              2、函数参考:GetDlgItemText、GetWindowText,找到后设置条件断点 F9运行至断点处按Alt+F9回到程序领空,上面的语句即为Call函数; 3、内存访问断点、写入断点; 4、消息断点及 RUN 跟踪(不是非常明白); 5、得到密码之前的多次循环可能为16进制转换为1
二进制脱壳技巧揭秘:寻找入口地址与脱壳策略
二进制脱壳是计算机安全领域中的一个重要概念,它涉及到软件保护技术,尤其是针对恶意软件或可疑程序进行逆向工程的一种手段。本文将详细介绍几种常见的二进制脱壳方法和技术。 首先,理解脱壳的基本概念,即程序在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值