脱壳基础篇

最新推荐文章于 2022-10-19 21:19:28 发布
最新推荐文章于 2022-10-19 21:19:28 发布
阅读量536 收藏 1
点赞数
文章标签: 脱壳
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hercs/article/details/79447174
版权
1.ESP定律

od打开程序,单步,当观察到右边寄存器窗口中仅有ESP变红时(一般是push或者pushad指令执行时),鼠标放在ESP后面的地址上,右键,点击HW break[ESP].然后f9运行,中断后单步,当有一处较大跳转时,则对应入口点。

原理:脱壳过程中要保持堆栈平衡。

2.两次内存镜像法

od打开程序后,alt-m打开内存窗口,在资源段(.rsrc)右键,设置内存访问断点,f9运行,中断后,再在代码段(或者紧接着PE文件头后面的段)设置内存访问断点。f9运行,单步若干步即可到达入口点。

原理:一班脱壳程序会访问资源段,然后脱完壳后会访问代码段。

3.查找指令法

若有push,pushad等指令,直接查找pop或者popad等指令(不点搜索整个快),然后f4运行到该指令处,就离入口点不远了。

4od插件SFX法

od->选项->调试设置->SFX,下面会显示三种模式,第二,第三种模式会具有一定的自动脱壳能力,载入程序后会自动脱壳停在入口点。




hercs
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OD中的断点和命令
l460602540的专栏
07-31 4564
断点和命令     BP 表达式 [,条件]   在指定地址设置 INT3 断点   BP EAX+10BP 410010, EAX==WM_CLOSEBP Kernel32.GetProcAddress BPX 标签   在当前模块每一个对外部标签的调用设置断点   BPX CreateFileA BC 表达式   删除指定地址的断点   BC 410010 MR 表达式1 [,表达式2
常用的Win32函数清单
boyplayee的专栏
04-02 1004
1、限制程序功能函数  EnableMenuItem 允许、禁止或变灰指定的菜单条目   EnableWindow 允许或禁止鼠标和键盘控制指定窗口和条目(禁止时菜单变灰) 2、对话框函数  CreateDialog 从资源模板建立一非模态对话窗   CreateDialogParam 从资源模板建立一非模态对话窗   CreateDialogIndirect 从内存模板建立一非模态对话窗   C
OD常用快键热键
weixin_33860147的博客
08-29 125
打开一个新的可执行程序 (F3) 重新运行当前调试的程序 (Ctrl+F2) 当前调试的程序 (Alt+F2) 运行选定的程序进行调试 (F9) 暂时停止被调试程序的执行 (F12) 单步进入被调试程序的 Call 中 (F7) 步过被调试程序的 Call (F8) 跟入被调试程序的 Call 中 (Ctrl+F11) 跟踪时跳过被调试程序的 Call (Ctrl+F12) ...
OD命令大全(OllyDbg命令)
weixin_33698823的博客
04-07 900
以下命令适用于 OllyDbg 的快捷命令栏插件(显示于程序的状态栏上方) CALC 判断表达式 WATCH 添加监视表达式 AT / FOLLOW Disassemble at address 在地址进行反汇编 ORIG Disassemble at EIP 反汇编于EIP DUMP Dump at address 在地址转存 DA Du...
逆向工具基础学习(一)
kinginone的博客
05-16 556
简单脱壳原理(借鉴学习吧) 在这里,给大家分享一下关于一些基础知识的运用。 有些时候,忍不住在想很多东西,明明是一些很基础的东西,却要藏起来收费学习,在进去之后发现根本没有什么很大的价值。其实就是一些基础,让大家入个门,也不是什么高深的东西,所以,在这里给大家分享一下,虽然借鉴了很多东西,但也有自己的感悟和想法,希望对想入门学习的有所帮助。 下面是一些过程介绍: 1.通过PEID软件查询有没有加壳。 这里说一下,如果说没有加壳,在工具字段显示的就是具体使用语言,这里是ASPack 2.12加了壳。 2.通
脱壳基础
小黑话不多
07-13 943
1.     定位OEP 1.1  ESP定律(栈平衡) 使用UPX对计算器calc.exe进行加壳。 OD载入,如下: 第一条指令PUSHAD表示将所有通用寄存器值压栈,这些值即代表原程序加壳前的值,在壳运行完成后,需要借助栈恢复这些值,程序转到OEP,原程序才能正常执行。 F8向下走一步,此时ESP的值为压栈后的值: 对该ESP值下硬件断点:HW 0007F
shell基础
热门推荐
Hello_MyDream的博客
03-06 2万+
目录 一. shell四种执行方法 二. 基本语法 一. 变量 二. 文件名代换(通配符) 三. 命令代换 四. 算数代换 五. 转义字符(\的用法) 六. 引号 三. 流程控制 一. 分支结构 二. 循环结构 一. shell四种执行方法 在脚本文件使用!#中指定解释器。 !# /bin/sh 然后添加执行权限chmod a+x test.sh she...
新手学习脱壳的入门
11-22
来个新手学习脱壳的入门吧(6千字) 其实主要也是帮助一些朋友能更快的摸到门,不至于对只会照猫画虎,这些也是我当初我想问的那些问题的答案,都是些很基础的东西
鱼C解密系列基础视频教程分享
07-17
小甲鱼fishc的解密系列视频教程讲座基础的分享,此外还有工具、系统、调试脱壳
鱼C解密系列脱壳视频教程分享
07-17
小甲鱼fishc的解密系列视频教程讲座脱壳的分享,此外还有基础、工具、系统、调试
Android逆向基础
05-19
Android逆向基础思维导图,便捷整理思路,环境搭建、APK结构与反编译、APK打包流程、APK安装流程
自动核桃脱壳机设计-论文.zip
08-18
《自动核桃脱壳机设计》这论文主要探讨了农业机械化领域...总的来说,这论文详尽地探讨了自动核桃脱壳机的设计与实现,涵盖了从理论基础到实际应用的各个环节,为农业机械化和核桃加工产业的现代化做出了重要贡献。
源码分析BlackDex大法,是如何运作的?共三
08-11
BlackDex大法的Dump关注的是如何从运行的进程中导出Dex文件。这通常涉及到对系统调用和内存操作的深入理解,因为Dex文件在内存中加载后,原始的Dex文件不再存在于文件系统中。逆向工程师可能会寻找机会在内存中...
鱼C解密系列调试视频教程分享
07-17
小甲鱼的【鱼C解密系列】不仅限于调试,还包括基础、工具、系统脱壳,覆盖了从编程基础到高级技术的广泛领域,是全面提升个人IT技能的宝贵资源。通过学习这一系列教程,你将能更好地应对各种软件开发中...
鱼C解密系列工具视频教程分享
07-17
小甲鱼fishc的解密系列视频教程讲座工具的分享,此外还有基础、系统、调试脱壳
gdb 系列(1) (hwbreakpoint\watchpoint)
green的专栏
02-18 7600
1. 软硬件环境android 7.0(n) QCOM 骁龙8202. 背景我最初是因为要做一件类似这样的事情的时候才研究这个的 art debug过程中我们发现 经常有SIGSEGV的问题,而且是死在java 代码里(art 已经使用dexoat把java code compile 成了机器码) 几经分析发现是在对象的method里执行的时候this指针被改了,导致了取对象的一些成员的时候出
断点是如何工作的?
逗你吐血的博客
05-16 1103
断点是如何工作的? 原文:How do breakpoints even work? 停止程序执行的想法是70多年前作为ENIAC数字计算机的一部分发明的。当时,要暂停程序并进行调试,你必须拔掉控制程序流程的一根电缆,这就是所谓的“断点”。1 今天,断点是一种无处不在的调试程序的方式,大多数芯片架构甚至有专门的指令来触发它们!你有没有想过它们实际上是如何工作的?或者至少,当他们不这样做的时候会不高兴? 在本文中,我们将讨论断点的基本类型(硬件和软件)以及它们如何被GNU项目调试器GDB所利用。然后,我们将探
hw_breakpoint使用方法
weixin_30321709的博客
04-19 897
hw_breakpoint 使用方法 kprobe在 do_page_fault 函数中不能使用,那么如果真要在这里打点怎么办呢?看看hw_breakpoint是否可用: 事实证明,即便 hw_breakpoint 也是不能在do_page_fault处打点的。那可能真没有办法去抓do_page_fault处的信息了,那为什么这里不能打点呢? 看下do_page_fault的定义吧:NOKR...
脱壳】通过SFX功能定位OEP脱壳
最新发布
这个人很懒什么都没有留下
10-19 331
通过将加壳文件导入调试器后通过调试器的配置设置,使用他的SFX自动载入到程序的入口点也就是OEP的位置。重新载入一次软件后他会寻找oep,找到oep入口点后会自动暂停软件。程序入口点必须包含在代码段,如果入口点没有在代码段是无法识别的。可以看到停到了0040100处因为这就是我们的入口点。配置完成后记得忽略异常否则会一直卡着断点。本次使用UPX加壳来进行学习。
Android App加固与脱壳技术深度探究
首先,让我们简要概述一下脱壳前需要了解的基础知识。Apk文件是Android应用的主要打包形式,包含了应用程序的代码、资源和配置文件。其中,Dex文件是Dalvik虚拟机执行的字节码,是App的核心部分。加固技术通常针对...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值