“破解大牛是怎么炼成的”之壳与ESP定律

最新推荐文章于 2023-09-17 13:06:36 发布
最新推荐文章于 2023-09-17 13:06:36 发布
阅读量617 收藏 1
点赞数
分类专栏: 工具 C++
C++ 同时被 2 个专栏收录
196 篇文章 5 订阅
订阅专栏
工具
37 篇文章 0 订阅
订阅专栏

一、前言
通过前面几篇的学习,我们学会了利用暴力破解达到绕过注册机制和追踪注册码来达到“合法”用软件的方法,但是我们往往会遇到代码经过混淆器混淆的程序,此类混淆器可以称之为壳,壳又可分为压缩壳(常见的有UPX、北斗、ASDPack、Npack、PECompact等)和保护壳(如强壳Safengine、VMprotect、winlicense、Themida等),压缩壳作用是把程序进行体积缩小化处理,保护壳主要作用是混淆或加密代码防止他人进行逆向程序、破解程序。我们可以通过一些侦壳程序进行识别,但有些壳会采用伪装技术来混淆侦壳程序。
本次文章是UPX压缩壳的脱壳工作。
二、目录

1、前期工作

2、OD操作

3、小结

三、正文

我们先看下加壳软件和未加壳对比

左边是没有加壳的,右边是加壳的,明显的发现体积缩小了一半

我们再用PEID对比下加壳前和加壳后的EP段和一些有用的信息

 

我们载入OD后会发现这个提示,为了方便接下来的操作,我们在这里选否

载入后的OD

我们F8单步走走,注意右面寄存器FPU的显示,当有且只有ESP和EIP为红色时,我们可以用ESP定律了

下图就是这样的例子,我们这时候可以右键ESP后面那个地址,然后选择在数据窗口中跟随

也可以直接在下面的Command窗口中输入dd 0012FFA4 后回车

这两种方法最终的效果都会在数据窗口中跟随到0012FFA4这个地址,然后我们可以右键那一段地址任意HEX设置断点→硬件访问→word型

这个操作也可以在command窗口输入 HR 0012FFA4 回车后完成,然后我们按F9运行程序,此时程序会暂停在我们设置的断点位置

然后我们F8单步走,到了jnz位置后不要再按F8了(这是向上跳转的),我们用鼠标点击她的下一行然后按F4,让程序强制转到跳转下面继续运行,到达jmp后我们必须跳过去,因为接下来就有可能是程序的OEP领空

OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP)

 

这里就是易语言/VC程序的OEP

然后我们就可以脱壳了,脱壳前我们先把断点清理掉,以免出错【调试→硬件断点→删除】

然后右击程序当前位置第一行代码,选择OllyDump脱壳调试进程

然后我们在弹出的窗口中选择脱壳,然后输入要另存为的文件名

此时,我们已经脱壳结束,检查下程序能否正常运行

 

我们再看下PEID对比脱壳前和脱壳后的不同

EP段提示UPX0是因为我没有优化区段

我们可以点>>来详细看下对比

脱壳后

未脱壳

到此,脱壳完成。

3、小结

程序在下面,部分语言OEP

delphi: 

  55            PUSH EBP 
  8BEC          MOV EBP,ESP 
  83C4 F0       ADD ESP,-10 
  B8 A86F4B00   MOV EAX,PE.004B6FA8 


vc++ 
   55            PUSH EBP 
   8BEC          MOV EBP,ESP 
   83EC 44       SUB ESP,44 
   56            PUSH ESI 

vc6.0 
  55                 push ebp 
  8BEC               mov ebp,esp 
  6A FF              push -1 

vc7.0 

  6A 70              push 70 
  68 50110001        push hh.01001150 
  E8 1D020000        call hh.010017B0 
  33DB               xor ebx,ebx 

vb: 


00401166  - FF25 6C104000   JMP DWORD PTR DS:[<&MSVBVM60.#100>]      ; MSVBVM60.ThunRTMain 
0040116C >  68 147C4000     PUSH PACKME.00407C14 
00401171    E8 F0FFFFFF     CALL <JMP.&MSVBVM60.#100> 
00401176    0000            ADD BYTE PTR DS:[EAX],AL 
00401178    0000            ADD BYTE PTR DS:[EAX],AL 
0040117A    0000            ADD BYTE PTR DS:[EAX],AL 
0040117C    3000            XOR BYTE PTR DS:[EAX],AL 


bc++ 
0040163C > $ /EB 10         JMP SHORT BCLOCK.0040164E 
0040163E     |66            DB 66                                    ;  CHAR 'f' 
0040163F     |62            DB 62                                    ;  CHAR 'b' 
00401640     |3A            DB 3A                                    ;  CHAR ':' 
00401641     |43            DB 43                                    ;  CHAR 'C' 
00401642     |2B            DB 2B                                    ;  CHAR '+' 
00401643     |2B            DB 2B                                    ;  CHAR '+' 
00401644     |48            DB 48                                    ;  CHAR 'H' 


00401645     |4F            DB 4F                                    ;  CHAR 'O' 
00401646     |4F            DB 4F                                    ;  CHAR 'O' 
00401647     |4B            DB 4B                                    ;  CHAR 'K' 
00401648     |90            NOP 
00401649     |E9            DB E9 
0040164A   . |98E04E00      DD OFFSET BCLOCK.___CPPdebugHook 
0040164E   > \A1 8BE04E00   MOV EAX,DWORD PTR DS:[4EE08B] 
00401653   .  C1E0 02       SHL EAX,2 
00401656   .  A3 8FE04E00   MOV DWORD PTR DS:[4EE08F],EAX 
0040165B   .  52            PUSH EDX 
0040165C   .  6A 00         PUSH 0                                   ; /pModule = NULL 
0040165E   .  E8 DFBC0E00   CALL <JMP.&KERNEL32.GetModuleHandleA>    ; \GetModuleHandleA 
00401663   .  8BD0          MOV EDX,EAX 

dasm: 

00401000 >/$  6A 00         PUSH 0                                   ; /pModule = NULL 
00401002  |.  E8 C50A0000   CALL <JMP.&KERNEL32.GetModuleHandleA>    ; \GetModuleHandleA 
00401007  |.  A3 0C354000   MOV DWORD PTR DS:[40350C],EAX 
0040100C  |.  E8 B50A0000   CALL <JMP.&KERNEL32.GetCommandLineA>     ; [GetCommandLineA 
00401011  |.  A3 10354000   MOV DWORD PTR DS:[403510],EAX 
00401016  |.  6A 0A         PUSH 0A                                  ; /Arg4 = 0000000A 
00401018  |.  FF35 10354000 PUSH DWORD PTR DS:[403510]               ; |Arg3 = 00000000 
0040101E  |.  6A 00         PUSH 0                                   ; |Arg2 = 00000000 
00401020  |.  FF35 0C354000 PUSH DWORD PTR DS:[40350C]               ; |Arg1 = 00000000

本节出现的名词解释

EP段:EntryPoint,入口点 
OD命令: 
HR 访问时进行硬件中断 
DD 转存在堆栈格式 
EIP:寄存器的一种,EIP寄存器里存储的是CPU下次要执行的指令的地址 
ESP:寄存器的一种,寄存器里存储的是是栈的栈底指针,通常叫栈基址

 

四、总结

有看客私下问我能不能直接学破解网络验证,那么我的回答是不能,没有基础的人,直接上难度高的,会丧失自信心,网络验证往往会伴随各种暗桩,轻则关机重启蓝屏,重则格盘毁MBR放毒,这些我在后面都会有提到

更多安全技术、精品好文、白帽黑客大佬尽在:http://bbs.ichunqiu.com/portal.php

imJaron
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
脱壳(一) —— ESP定律
weixin_44122225的博客
11-20 2172
1.PUSHAD (压栈) 代表程序的入口点, 2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近 3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP/FOEP),只要我们找到程序真正的OEP,就可以立刻脱壳。 一、ESP定理脱壳 (通过下ESP硬件访问断点找到OEP) 1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突现变成红色。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) 2.选中ESP,进行数据访问
脱壳第一讲,手工脱壳ASPack2.12的壳.ESP定律-附件资源
03-05
脱壳第一讲,手工脱壳ASPack2.12的壳.ESP定律-附件资源
手动脱壳_ESP定律
最新发布
m0_74091653的博客
09-17 171
UPX是一种常见的压缩壳。通过PEID检测到是UPX的壳的话,可以用如下四种方式来脱壳:单步跟踪法、ESP定律、内存镜像法、POPAD查找法1.单步跟踪法执行单步跟踪程序,当发现大跨度跳转如JMP、JE、RETN等指令出现时,程序入口点(Original Entry Point,OEP)可能就在附近。2. ESP 定律法。
java esp_Java基础知识回顾
weixin_42515392的博客
02-16 316
从事编程工作也有一段时间了,但是最近发觉基础知识的确还是需要加强,于是读了《Java核心技术》以加强基础知识。也只有掌握扎实的基础知识才能更灵活的运用它们,才可以达到融会贯通的目的。很难想象才流行20年java语言竟然获得了程序员竞相追逐的辉煌成就。多态一般用在方法的返回值中和方法的参数上面。类,定义起来容易划分起来难。在java中,利用关键字final声明常量。关键字final表示这个变量只能被...
利用ESP定律法手动脱upx壳
2201_75522173的博客
07-07 337
ESP定律法是脱壳的利器,是应用频率最高的脱壳方法之一.
OD动调之脱壳:使用ESP定律寻找
09-03
mazeupx 测试程序
ESP-01S外壳的电路板设计
09-23
详情可以看我的文章
16种可用ESP定律脱的壳
01-29
详尽介绍了可以用ESP定律手动脱壳,我学习后受益匪浅。
【软硬件通讯】ESP8266 STM32 Java服务端代码 串口/网络调试助手
ranmaxli的博客
05-18 1673
ESP8266这个WiFi模块即可以作为服务器,发出WiFi供其他的客户端连接;也可以作为客户端连接服务器。 接下来就简单的演示ESP8266通过路由器连接服务器的实现,连接服务器时ESP8266使用到的指令: 将8266设置为STA模式: AT+CWMODE=1 设置完之后重启: AT+RST 8266连接路由器发出的WiFi: AT+CWJAP=”WiFi名”,”WiFi密码” 启动...
VmProtect.V2.12.3_WinLicenseDemo2.27
06-19
VmProtect.V2.12.3_WinLicenseDemo2.27 完整破解
AsdPack.rar
12-03
AsdPack 来自沙皇俄国的一款压缩壳 制作免杀的利器
ASProtect等多种脱壳脚本大全
11-04
ASProtect,ASDPack,PePack等脱壳脚本大全,有800多种脱壳脚本!!
使用JAVA基于JBOSS实现ESP
05-28
使用JAVA基于JBOSS实现ESP使用JAVA基于JBOSS实现ESP
ESP脱壳定律
不凡乃大的博客
07-03 1283
ESP脱壳定律
ESP32C3解锁使用IO11
Medlar_CN的博客
02-04 1307
ESP32C3解锁使用IO11
ESP定律脱壳(吾爱复现)
weixin_49764009的博客
12-21 2361
ESP定律法简介 ESP定理脱壳(ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了!) 1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突变成红色。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) 2.在命令行下:dd XXXXXXXX(指在当前代码中的ESP地址,或者是hr XXXXXXXX),按回车! 3.选中下断的地址,断点—>硬件访—>WORD断点。 4.按一下F9运行程序,直接来到了跳转处,按下F8,到达程
esp脱PECompact 2.55
weixin_34062329的博客
05-08 89
看黑鹰的教程,发现这个壳没有用到esp定律来脱,所以就自己实验了下。发现可以用esp定律。 文件下载地址:http://files.cnblogs.com/tk091/PECompact2.55.rar 下面是脱文: 首先OD载入程序,找到第一个esp凸显变红的地方,在命令行输入hr esp shift+F9运行。 1 77578D0B 3B45 F8 cmp ...
脱壳-PeCompact(2.20)
talk is cheap;Later equals never;如果对你有帮助,点赞就行,没有建设性的建议请别留言:P
02-13 911
前言脱壳练习, PeCompact是压缩壳查壳PEID => PECompact 2.x -> Jeremy Collake DIE => PeCompact(2.20)[-]找OEPESP定律(硬断点, DWORD读) F9跑起断在NTDll中, ALT+F9返回用户领空, F8走到下面的JMP EAX, 就去OEP了.0050EB63 53 push
简述ESP定律在脱壳中的应用。
06-10
ESP定律是指在函数调用时,栈指针ESP的值会随着参数压栈和返回地址压栈而发生变化。在脱壳中,我们可以利用ESP定律来定位加壳程序的OEP(Original Entry Point),即程序的入口点。 具体来说,我们可以通过在加壳程序中设置断点,然后在断点处查看ESP的值,找到调用加壳壳之前的ESP的值,从而推断出OEP的地址。这是因为,在调用加壳壳之前,程序的栈指针ESP指向的是原始程序的栈帧,而在加壳壳中,栈指针ESP的值会随着加壳壳代码的执行而发生变化。因此,通过查看ESP的值,我们可以找到加壳之前的ESP值,从而得到OEP的地址。 ESP定律在脱壳中的应用还包括了调试器中的寄存器监视功能,我们可以将ESP寄存器设置为监视对象,当ESP寄存器的值发生变化时,调试器会自动跳转到相应的代码行,帮助我们更方便地定位OEP。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值