寻找OEP

最新推荐文章于 2022-10-19 21:42:49 发布
最新推荐文章于 2022-10-19 21:42:49 发布
阅读量521 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/for_mat_/article/details/97672970
版权

在OD中打开00_upx.exe之后,到达的地方是PUSHAD,这个时候下一个断点,直接运行到这里,然后单步步过,再取消掉下好的断点:

此时,在右侧ESP处下一个访问断点:

 

下面黄色区域是修改堆栈的操作:

 

 而下面的这个jmp就会直接跳转到OEP:

下面是jmp到达的地方:

 运行到这里之后直接右键选择dump:

 进行dump,取消掉重建输入表:

 

dump完成之后用专用工具去修复它:

 

 进程选择当前的exe,然后修改OEP,将旁边的两个按钮以此按下:

 选中无效的输入表函数,点击无效函数按钮,剪切无效函数:

 剪切掉之后转储:

 转储的时候选择之前dump的.exe,然后确定,在去文件夹里打开修复的文件,就可以正常运行了!如果不修复就无法运行起来

 方法二(用x32dbg来调):

 

 x32dbg会自动选择是32位还是64位,当前eip指向的是系统断点的位置,点击运行,到达程序入口点:

这里是壳的入口点,f8单步一下,选中esp右键-在内存窗口中转到

 

 选中内存区域,右键-设置一个硬件访问断点-断点-读写断点-4字节

然后f9运行,到达跳转到OEP的位置了,通过jmp找到OEP

 

 到达OEP:

 到达之后找到插件scylla:

 OEP地址会被自动读取出来,进程也是自动的,然后点击IAT Autosearch去查找IAT,原理就是从OEP开始搜索,直到找到IAT的调用函数

 

 

 

 

 

jmp esp
关注
【脱壳-寻找OEP】壳常用的函数寻找OEP
这个人很懒什么都没有留下
10-20 324
我们这次用GetProcAddres来测试,载入我们的测试文件然后Cttrl+G输入GetProcAddress获取函数的地址下断点,但是下的是条件断点,只针对函数加载进行记录而不是进行下断。但是这里的数据有几千行不知道哪一行是我们要定位的数据,我们在他的代码段设置访问断点然后一直按住F9往下运行一直到他被断下来为止。这次我们用的是特殊OD。之后一直F9停下来的就会出现代码段,这就是我们的OEP了,但是这个方法不太好用不建议使用。设置esp的记录为记录值,因为esp的栈顶数据读入的第一条肯定是他。
【脱壳-寻找OEP】通过堆栈平衡法找到OEP(ESP定律)
最新发布
这个人很懒什么都没有留下
10-19 417
本次教程用的还是用UPX的加密,直接载入这个文件可以看到一个pushad,每个pushad都有他对应的popad,他的作用就是把右边的寄存器内容压入栈中,popad就是把压入栈中的内容进行还原。我们到堆栈里给他设置一个硬件访问断点,因为他是从第一个开始弹出所以要在第一个地址里设置断点,所以等到他pop出来还原的时候也就是解码完成了,就可以顺着找到oep。对比后发现他把内容都给压入到栈中了,到popad那一步的时候他又会把压入的内容还原到堆栈中去。跳过去就是我们的OEP了。
寻找真正的入口(OEP)--广义ESP定律
05-07
寻找真正的入口(OEP)--广义ESP定律
常见寻找OEP的方法
03-25
现在很多软件都加入了壳 希望这个能帮助新手更容易的找到壳的入口
脱壳笔记-寻找OEP方法总结
走在成长的路上
01-03 7480
详解手动跟踪法、ESP定律方式、内存二次断点法的原理与使用
【脱壳-寻找OEP】通过内存定位OEP实现脱壳
这个人很懒什么都没有留下
10-19 496
注意:不需要去断加壳程序原本的代码断,因为他本身的代码断是做解密 还原 写入的,没必要在他本身做断点。这次用的也是UPX的壳,载入特殊od后可以看到upx的壳是在我们原始oep的代码外面,UPX0里面才包含我们的原始入口点,UPX1是不包含的,UPX1这块就对 解密 还原 写入这三个步骤进行操作,然后写入到UPX0这个输入表中,也就是我们真实的OEP入口代码地址。设置完后F9运行,可以发现他断在了我们的入口点处,代码已经解密完成了,加壳程序已经还原了他的代码,这也是还原后执行的第一行代码段被我们断了下来。
第42章-ACProtect V1.09脱壳(寻找OEP,绕过硬件断点的检测,修复Stolen code)1
08-03
我们可以利用OD的Debugging options-SFX功能,选择Trace real entry blockwise(inaccurate)来尝试找到OEP。不过,有时OEP可能被"stolen bytes"所影响,这是壳层用来混淆真实入口点的一种技术。 要找到stolen bytes...
OEP TOOL 查找工具
06-29
查找OEP的工具 能快速识别软件的OEP
免杀破解利器-OEP查找工具-OepFinder汉化版
05-24
免杀破解利器-OEP查找工具-OepFinder汉化版免杀破解利器-OEP查找工具-OepFinder汉化版
七种OD查找oep的方法
07-15
七种OD查找oep的方法 单步跟踪法 ESP定律法 内存镜像法 一步到达OEP 最后一次异常法 模拟跟踪法 “SFX”法
OEP大全,快速查看不同编译语言编写的程序的OEP特征工具
01-16
快速查看不同编译语言编写的程序的OEP特征工具,就像字典一样,需要哪个查哪个。点击编译语言按钮,就会出来相应的OEP特征
寻找OEP的几种常用方法
/0
08-15 2633
寻找OEP的几种常用方法
使用ESP定律查找程序OEP
iqiqiya的博客
04-11 1022
 遇到UPX壳 使用 ESP定律 找到程序OEP 载入OD  F8向下单步走 走了一步发现ESP寄存器变红 右键ESP 选择HW break [ESP] 点击菜单栏 调试à硬件断点 可以看到已经下好了断点  F9运行一次 断在了这里   接着一步F8即可到达OEP   关于例子下载及之后怎样脱壳 可以看我的这篇帖子160个crackme之005ajj.2破解思路及手脱UPX...
OEP程序的入口点查找
qq_43185879的博客
04-21 276
OEP程序的入口点查找 OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP), 只要我们找到程序真正的OEP,就可以立刻脱壳。 PUSHAD (压栈) 代表程序的入口点, POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个,OEP就在附近。 常见寻找OEP脱壳的方法 方法一: 1.用OD载入,不分析代码! 2.单步向下跟踪F8,是向下跳的让它实现 3.遇到程...
OEP查找样例
V8cangshu的博客
06-15 466
由于Upack会将IMAGE_OPTIONAL_HEADER的NumberOfRvvaAndSizes值设置为A(十六进制)(默认为10)所以导致异常。忽略报错后。无法跳转EP位置,停留在ntdll.dll区域。 使用stud_PE得知EP的值为01001018接着在OD查找并设置新的OEP更改EIP。 前两条指令读取010011B0的前四个字节,在加到EAX当中获得0100739D,挂断点...
定位OEP:一步直达法与UPX/ASPACK壳
对于这种壳,需要寻找更精细的线索,如CALLEAX、CALLEBX或JMPEAX等指令,因为它们可能会将OEP的地址存储在寄存器中,通过调用或跳跃到相应寄存器来访问。 OllyDbg提供了搜索ALLCOMMANDS的功能,这使得逆向工程师...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值