ESP法和二次断点法脱壳总结

最新推荐文章于 2023-09-17 13:06:36 发布
VIP文章 最新推荐文章于 2023-09-17 13:06:36 发布
阅读量2.5k 收藏 3
点赞数
分类专栏: 免杀学习 文章标签: c 解密 测试 command exe 破解
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jyk764717697/article/details/7306621
版权

ESP法和二次断点法脱壳总结

一直想学一些逆向破解之类的知识,但是起步比较难,听看雪的某个高手说你可以从免杀方面的知识入手,掌握点基础。

首先感谢姬良写的《杀不死的秘密》这本书,真心不错。

1、ESP

原理:维持堆栈平衡

壳程序运行后,首先运行壳部分,然后将原程序还原到内存中并将控制权返还。而大部分压缩壳在运行壳程序时都会将原程序做一个堆栈保护,壳程序运行完成后将原程序还原到内存时会将原先保存的环境恢复供原程序使用,这样我们就可以很轻易的找到OEP。

操作实践:

未加壳程序text.exe

入口点:00001020



加UPX壳程序UPX壳.exe


入口点:0000A7B0

同时也提示加了UPX壳,说明加壳成功。


载入OD(OllyICE),出现下面提示,选择否。


程序停在0040A7B0处,这里有一指令 


pushad 这一指令很重要,他的作用是将所有32位寄存器压栈,很显然这是为了保护环境。如果这条指令后面有JMP指令,

那么JMP指令后的地址很可能就是OEP

在看一下寄存器部分注意和下面对比。


F8单步调试


发现ESP变了,EIP为指令寄存器不管它,在下面的Command编辑框中输入

Hr 0012FFA4 在按回车键,在这里下一个硬件中断。F9直接运行。


程序停在Jmp这里 ,在看下图有没有发现寄存器的值和执行pushad指令前一样,这就说明在这里做了环境恢复。

F7调试步入。


这时程序停在00401020出,这时你会觉得很熟悉了,原程序入口点是00001020,这里的00401020是基址00400000加上入口点得到的虚拟地址。既然找到了原程序的入口点了,接下来就是脱壳了。

右击00401020处指令选择Dump debugged process


点击 Dump按钮保存即可,之后我们运行脱壳后的程序,并用Pedit查看和加壳前的程序比较。发现是一样的,说明此次脱壳成功。


总结:改方法脱壳利用堆栈平衡原理,适用于大部分压缩壳,方法简单。但在脱北斗壳是会出现一些假象,不要管他继续Dump即可。


2、二次断点法(又叫内存镜像法)

个人觉得这个原理比较难懂一点,需要一点PE结构的知识。我对这方面原理的理解来自

看雪论坛http://bbs.pediy.com/showthread.php?t=20366 

黑客防线http://bbs.hackerxfiles.net/archiver/tid-88027.html 

原理:

最低0.47元/天 解锁文章
JinEver
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ESP8266使用arduino连接巴云,DHT11传感器温度数据上传,同时实现led网络控制开关和本地控制开关
12-19
此Arduino 项目是一个示例项目,本地温度数值自动上传巴云平台,每行代码都有注释,方便理解。长按开关点亮led,长按开关熄灭led,同时可以将当前led的状态上传到巴云对应订阅的主题,对应主题推送消息可改变led...
ESP定律与内存断点
yizhenweifeng的专栏
02-13 1621
ESP定律 一.准备知识 在我们开始讨论ESP定律之前,我先给你讲解一下一些简单的汇编知识。 1.call 这个命令是访问子程序的一个汇编基本指令。也许你说,这个我早就知道了!别急请继续看完。call真正的意义是什么呢?我们可以这样来理解:   1.向堆栈中压入下一行程序的地址; 2.JMP到call的子程序地址处。 例如: 00401029.E8 DA240A00 call
脱壳实践之寻找OEP——两次内存断点
weixin_30294021的博客
10-26 228
0x00 前言 对于加壳程序第一件事就是要找到OEP(oringinal Entry point),由于加壳的缘故,当PE文件载入OD或者其他调试软件时进入的的往往是壳程序的入口地址。所以要进行逆向分析第一步就必须找到PE程序的原始入口点。 0x01 壳的加载过程 壳和病毒在某些方面比较类似,都需要比原程序更早获得控制权。壳修改了原程序的的执行文件的组织结构,从而比原程序更早...
使用二次断点_手工脱壳
weixin_30394333的博客
07-05 266
通常在软件的破解过程中,会遇到代码经过混淆器混淆的程序,此类混淆器可以称之为壳,壳又可分为压缩壳(常见的有UPX、北斗、ASDPack、Npack、PECompact等)和保护壳(如强壳Safengine、VMprotect、winlicense、Themida等),压缩壳作用是把程序进行体积缩小化处理,保护壳主要作用是混淆或加密代码防止他人进行逆向程序、破解程序。我们可以通过一些侦壳程序进行识别...
两次内存断点寻找OEP脱UPX壳
zhangmiaoping23的专栏
07-18 1683
逆向过程中通过会遇到脱壳的过程,而脱壳的方式有有多重,如果手工脱壳,需要找到OEP。 所谓“两次内存断点寻找OEP”,按照《加密与解密*第三版》上的解释来说,就是这样的。 一般的外壳会依次对.text、.rdata、.data、.rsrc区块进行解压(解密)处理,所以,可以先在.rdata、.data等区块下内存访问断点,中断后,此时代码已解压,接着再对代码段(.text)下内存访问断点,即
脱壳笔记-寻找OEP方总结
走在成长的路上
01-03 7305
详解手动跟踪ESP定律方式、内存二次断点的原理与使用
脱壳汇总
weixin_34217711的博客
05-19 539
一、脱壳基础知识  1、脱壳的概念  在第三章中讲了加壳的概念,与加壳技术相对的就是脱壳技术了。脱壳就是将已经加壳的程序从壳中剥离出来。既然能给程序进行加壳,那也会有相应的脱壳。尽管理在有些壳很难脱掉,但是脱壳技术也在不断的进步,而且在不断竞争中发展状大。  2、OEP  OPE的意思就像它的名字一样容易理解。OEP就是原程序的入口点,也就是真正的入口点。  当被加壳的程序运行后,首先运行的是...
汉王电子签批屏ESP1020A二次开发包sdk
09-13
汉王电子签批屏ESP1020A二次开发包sdk,包含c#、c++、JavaScript开发示例。
ESP8266二次开发源码
07-07
次开发包 是基于ESP8266 语音识别的 SDK二次开发 源码,有需要的兄弟可以下载
esp32开发板原理图和PCB.zip
最新发布
12-18
esp32开发板原理图和PCB.zip
通过巴云平台控制震动模块震动.zip
12-22
通过巴云平台控制震动模块震动,适用于初上手物联网控制的小白
ESP定律脱壳(吾爱复现)
weixin_49764009的博客
12-21 2364
ESP定律简介 ESP定理脱壳ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了!) 1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突变成红色。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) 2.在命令行下:dd XXXXXXXX(指在当前代码中的ESP地址,或者是hr XXXXXXXX),按回车! 3.选中下断的地址,断点—>硬件访—>WORD断点。 4.按一下F9运行程序,直接来到了跳转处,按下F8,到达程
脱壳_两次断点找oep
02-03 487
两次断点 调试之前od要设置 选项 调试设置(alt+o) 异常 把这些东西全都打上√ 全都忽略 忽略所有异常 点 alt+m 或点M 找到我们的exe 要找到与程序名字相同的段 程序领空 属于程序本身的段 在程序的代码地址 下断 在.rsrc 数据输入表 下F2断点 然后 再按shift+f9  (Shift+F9 忽略异常运行) 第二次断点 还选M (快捷键alt
ESP脱壳定律
不凡乃大的博客
07-03 1284
ESP脱壳定律
破解之寻找OEP[手动脱壳](2)
weixin_34159110的博客
07-25 165
1、使用ESP定律 OD载入后,F8一次,在寄存器窗口的ESP的内容上(如0012FFA4)右键:“在数据窗口中跟随”,到内存数据窗口,将内存数据窗口以HEX 数据形式显示,在刚才的地址起始位置上(如0012FFA4)上右键:“断点”->“硬件访问”->“字”,F9直接运行,再F8一次或二 次,一般会到push ebp这句代码,这句代码所在的地址,就是OEP。   2、二次断点...
OD脱壳八大
老北京砸酱锤的博客
06-22 3629
一、esp定律 进入程序,第行为pushad 单步步过(F8)一下,查看寄存器,当8个寄存器只有esp为红色时,右击红色地址,选择数据窗口中跟随。在左下角的窗口中可以看到,自动跟随到红色地址。 选中若干数据,右击选择断点-硬件访问-(byte,word,dword 任意选择)注:只是访问的字节数不同。 运行(F9)到达断点处,单步步过(F8)几下, 进入到不是不认识的代码地方 ,右键点击分析-从模块中删除分析。 在当前窗口右键选择dollydump脱壳调试进程,分别脱壳两次,不同之处是重建输入表
寻找OEP
吖吖狼 的专栏
03-26 8400
1、使用ESP定律 OD载入后,F8一次,在寄存器窗口的ESP的内容上(如0012FFA4)右键:“在数据窗口中跟随”,到内存数据窗口,将内存数据窗口以HEX数据形式显示,在刚才的地址起始位置上(如0012FFA4)上右键:“断点”->“硬件访问”->“字”,F9直接运行,再F8一次或二次,一般会到push ebp这句代码,这句代码所在的地址,就是OEP。   2、二次断点 OD载入后,
脱壳基础教程
Aquarius_ego的博客
05-29 6428
软件脱壳相关介绍
手动脱壳_ESP定律
m0_74091653的博客
09-17 171
UPX是一种常见的压缩壳。通过PEID检测到是UPX的壳的话,可以用如下四种方式来脱壳:单步跟踪ESP定律、内存镜像、POPAD查找1.单步跟踪执行单步跟踪程序,当发现大跨度跳转如JMP、JE、RETN等指令出现时,程序入口点(Original Entry Point,OEP)可能就在附近。2. ESP 定律
ESP32需要二次开发吗
05-31
它已经集成了WiFi和蓝牙等通信模块,并且具有足够的处理能力和存储空间,因此对于一些简单的应用来说,你可以直接使用ESP32的原生功能,而不需要进行二次开发。 但是,如果你需要将ESP32用于比较复杂的应用,或者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值