ximo脱壳基础(个人学习汇总记录 一 )

最新推荐文章于 2021-01-29 13:46:27 发布
最新推荐文章于 2021-01-29 13:46:27 发布
阅读量633 收藏 1
点赞数 1
分类专栏: 脱壳 11 文章标签: 脱壳
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bukengde/article/details/88962624
版权
本文档记录了作者学习ximo脱壳技术的过程,涵盖了基础概念、原理及应用,旨在分享个人学习心得。
摘要由CSDN通过智能技术生成

0x01
假期学习了”ximo脱壳基础“,学习过程中有一些记录发出来可以供大家参考。记录中步骤都是以“ximo脱壳基础”中的例子为参考,部分壳进行时需要根据具体情况进行改变,这里的总结步骤不是绝对的过程。
有些方法是通用的,所以会重复出现。
0x02
1)UPX壳(压缩壳)      
方法一:单步跟踪
    使程序只执行向下跳转,不让向上跳,直到运行到popad处(和开始的pushad对应),后面的jmp大跳跳转到oep

方法二:ESP定律法
    pushad后根据寄存器ESP的值在数据窗口跟随(命令:dd [ESP] )
    断点—>硬件访问—>Word(命令:hr [ESP] )—>运行—>删除硬件断点—>F8到OEP

方法三:2次内存镜像法
    ALT+M(到程序段)—>在第一个.rsrc设置访问中断(F2)—>Shift+F9—>ALT+M(到程序段)—>在00401000设置访问中断(F2)—>Shift+F9—>向下运行几步便可以看到popad

方法四:一步直达法
    根据pushad和popad成对出现性质 Ctrl+F查找命令(不勾选整个段)

2)ASPACK壳(压缩壳)      
ASPack 2.12 -> Alexey Solodoynikoy

方法一:单步跟踪
    使程序只执行向下跳转,不让向上跳,直到运行到popad处(和开始的pushad对应),后面的jmp大跳跳转到oep
    
方法二:ESP定律法
    pushad后根据寄存器ESP的值在数据窗口跟随(命令:dd [ESP] )
    右键断点—>硬件访问—>Word(命令:hr [ESP] )—>运行—>删除硬件断点—>F8到OEP

方法三:2次内存镜像法
    ALT+M(到程序段)—>在第一个.rsrc设置访问中断(F2)—>Shift+F9—>ALT+M(到程序段)—>在00401000设置访问中断(F2)—>Shift+F9—>向下运行几步便可以看到popad

方法四:一步直达法
    根据pushad和popad成对出现性质 Ctrl+F查找命令(不勾选整个段,CTRL+L查找下一个)
    
方法五:模拟跟踪法
    ALT+M(到程序段)查找包含SFX,imports,relocations的区段—>输入命令“tc eip<[地址]”—>到达OEP或者需要向下运行几步
    
方法六:SFX
    选项—>调试设置—>SFX—>选择跟踪方式(块方式或者字节方式)—>重载

3)NsPack壳      
版本:nSPack 1.3 -> North Star/Liu Xing Ping
    开始pushfd
方法一:ESP定律法
    单步运行,发现ESP值变换
    断点—>硬件访问—>Word(命令:hr [ESP] )—>运行(到达popfd)—>删除硬件断点—>F8到OEP
    
最低0.47元/天 解锁文章
bukengde
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ximo脱壳基础(个人学习汇总记录 二 )
bukengde的博客
04-02 403
本篇从“ximo脱壳基础教程第16节开始 0x02 (16)脱ACProtect1.32(无Stolen Code) 1)、设置异常,隐藏OD 选项—>调试设置—>设置内存访问异常 插件—>StrongOD—>Options—>勾选HidePEB Shift+F9直到程序运行(记录次数) 重载—>Shift+F9直到程序运行(次数-1)—>查...
学习ximo脱壳视频:1、手脱UPX壳
Jaychouzzk
04-22 362
所用工具:Ollydbg(吾爱版)   PEID v0.95运行环境:windows xp使用PEID v0.95查询到,此程序壳为UPX壳使用Ollydbg载入程序对于UPX壳的程序,有四种寻找OEP方法:1.单步跟踪,2.ESP定律,3.一步直达法,4.二次内存镜像法1.使用单步跟踪法找到OEP。使用单步步过(F8)一步一步向下执行,遇到向上跳转的语句,将程序运行到下一句继续执行,再继续单步跟...
视频笔记-吾爱破解ximo脱壳视频1~10
I have a dream
04-01 1375
总结归纳一下脱壳的几种方法: 1、单步跟踪法: 即F8一直运行下去,直到找到OEP 向下的跳转可以进行,向上的跳转不能进行 2、ESP定律法: 利用堆栈平衡原理,找到OEP 适用于:大部分的壳。例如:UPX壳、ASPACK、NSPACK、FSG、PECompact、EZIP、EXE32PACK等 3、一步直达法: 利用...
脱壳入门基础
07-15
脱壳入门基础 在一些计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然(但后来也出现了所谓的“壳中带籽”的壳)。由于这段程序和自然界的壳在功能上有很多相同的地方,基于命名的规则,大家就把这样的程序称为“壳”。软件加壳是作者写完软件后,为了保护自己的代码或维护软件产权等利益所常用到的手段。目前有很多加壳工具,既然有矛,自然就有盾,脱壳即去掉软件所加的壳,软件脱壳有手动脱和自动脱壳之分,
学习ximo脱壳视频:2、手脱ASPACK壳
Jaychouzzk
04-22 387
所用工具:Ollydbg(吾爱版)   PEID v0.95运行环境:windows xp使用PEID v0.95进行查壳        此程序的壳为ASPack使用OD载入程序,ASPack壳查询OEP有6种方法,1.单步跟踪,2.ESP定律,3.一步直达,4.二次内存镜像,5.模拟跟踪,6.SFX现演示两次内存镜象法、模拟跟踪和SFX法来进行查询OEP一、两次内存镜像法首先使用OD 载入此程序...
M-ximo-com-n除数-GCD-Euclid-s算法
02-14
标题中的"M-ximo-com-n除数-GCD-Euclid-s算法"显然指的是寻找最大公约数(Greatest Common Divisor, ...理解并熟练掌握欧几里得算法不仅有助于解决特定的数学问题,还能为学习更复杂的算法和数据结构打下坚实的基础
inusityproject:可以在任何人参与的项目中展示自己的作品,也可以在演出中获得帮助。 实用主义艺术家计划资助了一辆toda汽车,例如musicas mais votadas,deixando de lado seu gosto pessoal e focando no gosto dopúblico。 Nãoéomáximo
02-12
Nãoéomáximo? ================================================== =========== 英语 Inusity Project是一个创新项目,通过选择艺术家曲目中的歌曲,使观众积极参与他们正在观看的节目。 使用Inusity ...
男女皆宜的浴室问题:男女两性之间的关系是不可抗拒的,这是一个普遍存在的问题。 O banheiro maispróximo时代的储备apenas para homens。 Entãoela decidiu solicitar ao seu Chefe que torna-se este banheiro um banheiro unissex。 主厨阿科达拉·拉·科菲尔·科斯托杜(O Chefe concordou)亲临马斯普莫斯的历法网。 * O banheirosópode conter ou hom
02-14
O banheiro maispróximo时代的储备apenas para homens。 Entãoela decidiu solicitar ao seu Chefe que torna-se este banheiro um banheiro unissex。 主厨阿科达拉·拉·科菲尔·科斯托杜(O Chefe concordou)...
nlw-四移动-它:Projeto em next com下一个星期的ReactJs da semana第四周
02-28
<nlw>#04 Trilha做ReactJS øSISTEMA FOI desenvolvido COM碱没有conhecimento adquirido杜randint一个周做事件摘要达Rocketseat,ministrado PELO。 Tela de登录 Tela deExercícios ...26 fev - Próximo
脱壳学习笔记(四)
PDblue的博客
12-05 442
本文是《ximo脱壳基础》视频教程学习笔记 SFX脱壳法使用OD载入程序,选择“选项-调试设置-SFX-块方式跟踪真正入口处(不一定准确)” 然后重载程序,OD自动跳到了程序的真正入口点
著名的脱壳工具的使用教程
11-03
用于反汇编程序的脱壳软件的使用教程,适用于32位与64位的程序
视频笔记-吾爱破解ximo脱壳视频12
I have a dream
04-01 340
**目标:自校验的去除方法 适用于:当脱壳完成后,程序能运行但报遭修改的错误。修复了IAT之后,程序不能运行** 脱壳完成后,到程序OEP位置 同时打开原程序和脱壳完成后的程序,同时下断点bp CreateFileA 都取消断点,单步跟,比较二者不同,发现有一个跳转不同 则把脱壳后的程序这个跳转nop掉,或者改成jz,则程序正常运行 ...
2010.09.28_ximo_纠正下VMP脱壳中的修复DLL的错误
记录点滴
05-06 2179
http://hi.baidu.com/ximo2006/blog/item/ff0d3211f139f7def6039e75.html 用来纠正下《也来谈谈VMP2.05的脱壳》中,那个修复DLL的一些小问题。 主要的问题是出在对于导入的函数为序号时,则当时的代码就会出错。 比如MFC42.DLL中的函数都是按序号索引的,如mfc42.#4710 这时候,如果按这样的代码去获取地址:
2010.10.15_ximo_VMP脱壳后antidump的处理及再谈简单的爆破(带视频)
记录点滴
05-06 1887
http://www.52pojie.cn/thread-67701-1-1.html  发表于 2010-10-15 21:36:31 VMP脱壳后,有个antidump,也就是说,加了VMP外壳后,又VM掉了某关键代码后,脱壳后,就得处理antidump部分,不然程序会出错。 下面就简单的说下我个人的处理方法,当然,方法很多,我能力有限,只会这种垃圾的方法。当然比补区段要看点,补区段实
手脱ASpack
寻梦&之璐
01-29 1003
声明 首先记住刚开始的时候ESP的值 单步调试 还是那句话,遇到向下的跳转让它实现,向上的直接F4就行 ESP的值是0x0133FBE4 第一个call(步入) 第二个call(步入) 第三个call(步过)(GetModuleHandleA) 第四个call(步过)(GetProcAddress) 第五个call(步过)(VirtualAlloc) 第五个call(步过)(VirtualAlloc) 第六个call(步过)(未知) 第七个call(步过)(VirtualFree) 第八个
脱壳入门(四)之nSPack3.7北斗压缩壳
w_g3366的博客
08-08 1222
脱壳入门(四)之nSPack3.7北斗压缩壳 一、寻找OEP 查壳:nSPack 3.7壳、编译器版本12.0(VS2013)、区段信息 寻找OEP 壳入口点就是pushad pushfd,可以用ESP定律脱壳,压栈完成后,esp下硬件断点 F7单步走到原程序入口点 二、Dump文件 三、修复文件 修复文件,可以成功运行,脱壳成功 ...
2010.12.09_ximo_再来和谐下VMP2.07的脱壳
热门推荐
记录点滴
05-06 1万+
http://hi.baidu.com/ximo2006/blog/item/9c61dd3ae2b6e63296ddd833.html 今天拿到了VMP2.07的bin,看了下新版的外壳,发现处理上有了些变化,于是,fuck之。 大致的脱壳流程还是没什么变: 1.到OEP后dump 2.生成IAT的对应关系txt 3.添加进DLL,实现跨平台 但是,IAT的处理,新版的V
手脱nSPack 2.1 - 2.5
weixin_30553837的博客
11-15 114
1.载入PEID 使用核心扫描出的结果 nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping 2.载入OD,一进来就是一个大跳转,F8跟着走 00410944 >- E9 327E0000 jmp Aspack变.0041877B ; //程序入口点 00410949 C7 ...
手脱nSPack 3.7
weixin_30488313的博客
11-03 117
方法一: 1.OD查壳—nSpack3.7的壳 2. 载入OD 看起来很眼熟,F8一次,然后下面就可以使用ESP定律了,使用ESP定律下断点,然后F9四次 3.F9四次后落到这个位置 接下来就是不停F8了,注意点: ①F8过程中不管是向上跳还是向下跳我们都让他实现,按照正常逻辑,向上的跳转不是应该在下面一行下断跳过去吗?起初我也是这...
SOP8封装N-Channel场效应MOS管9470GM-VB的特性和应用
"9470GM-VB一款SOP8封装N-Channel场效应MOS管" 本文将详细介绍9470GM-VB MOSFET的特性、应用场景、参数限制和使用注意事项。 特性 9470GM-VB是一款N-Channel场效应MOS管,封装在SOP8封装中。该MOSFET具有低.on...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值