关于 ESP 定理

最新推荐文章于 2024-03-15 19:29:17 发布
最新推荐文章于 2024-03-15 19:29:17 发布
阅读量555 收藏
点赞数
分类专栏: 杂记 文章标签: 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuhw4598/article/details/78328793
版权

一般,压缩壳在执行加壳代码的开始和结束位置,分别会有 pushad 和 popad 来保存所有的寄存器环境,利用这一点,可以定位到程序真正入口代码的位置。

–>练习程序下载

打开程序后,程序的入口点就是汇编指令 pushad,下面的都是加壳代码。

这里写图片描述

执行 pushad 指令后,寄存器全部都入栈,此时栈顶以下的位置都存储了寄存器的环境。当加壳结束时,程序一定会恢复环境。所以,在右侧寄存器位置点击数据窗口跟随,再在栈顶位置下 硬件访问断点

这里写图片描述

这里写图片描述

按下 F9 键,可以看到断下的代码处恰好有汇编代码popad。再往下走就是主程序的代码了。

这里写图片描述

此时,如果如果使用 dump 功能,就可以将 dump 出脱壳的程序了。

这里写图片描述

该程序是 32 位程序,需要在 32 位系统下 dump。由于加壳程序都会将 导入表 抹去,所以 dump 时需要选中恢复导入表

dump可恢复导入表的 OD

后记:esp定理不一定只应用于开头只有 pushad 指令的程序,即使开头是 push eax,由于加壳结束后,一定会平到原来的栈,所以也会断到入口处。

如何对抗

只要将原来栈顶的数据复制到栈顶的以上部分,加壳结束后,以新的栈顶为起点,那么下的硬件断点就断不下来了。

这里写图片描述

想要养只猫
关注
专栏目录
脱壳(一) —— ESP定律
weixin_44122225的博客
11-20 2248
1.PUSHAD (压栈) 代表程序的入口点, 2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近 3.OEP:程序的入口点,软件壳就是隐藏了OEP(或者用了假的OEP/FOEP),只要我们找到程序真正的OEP,就可以立刻脱壳。 一、ESP定理脱壳 (通过下ESP硬件访问断点找到OEP) 1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突现变成红色。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) 2.选中ESP,进行数据访问
关于操作系统设计的基本原理和设计原则
tugouxp的专栏
03-09 6838
操作系统设计的精妙之处就在于,在底层硬件之上创造了新的抽象, 对于系统初始化来说, 它呈现了执行流到线程转化这一概念,该概念远远比它的实现细节更重要,处理器以“取指-执行”为周期开始串行执行指令,而初始化代码将自身转化为一个并发处理系统, 这里的关键之处在于,初始化代码并不是创建一个独立的并发系统,然后跳转到新的系统。
ESP定律
青蛙的博客
02-23 2455
ESP定律 1,载入程序 f8 ,找到右边寄存器窗口 找到esp(红色部分),右键选择HW break[ESP](可在调试-硬件断点查看断点) 2,运行程序,按两次F8,即到了程序入口(如果如下图,那么鼠标 右键-从模块删除分析就会出现正常的汇编代码了) 3,右键选择用用OllyDump调试进程 4,如图(注意重建输入表默认是打钩的,以防脱壳之后程序打不开,可以选择勾选和不勾选,然后点击右上...
ESP定律的原理
weixin_34101229的博客
08-18 129
壳代码在一开始会使用PUSHAD指令将所有的寄存器入栈,此时ESP所指向的内存记录着某一个寄存器的值。 然后我们ESP指向的内存处下一个硬件内存访问断点 执行完壳代码后会将所有的寄存器值出栈以平衡堆栈POPAD,CPU需要访问原ESP记录的值,壳代码解压完程序代码后,最后平衡堆栈时必然要从ESP所指向的内存中读取之前存入的某个寄存器的值,所以必定会触发此断点,此时离真正的OEP也不远了 PUSHA...
Lenus兄弟写的寻找真正的入口(OEP)--广义ESP定律
begin_programe的专栏
09-21 1015
[转贴]Lenus兄弟写的.难得的好文章!!.[转贴]Lenus兄弟写的寻找真正的入口(OEP)--广义ESP定律作者:LenusFROM: poptown.gamewan.com/bbsE-MAIL:meila2003@163.com1.前言    在论坛上看到很多朋友,不知道什么是ESP定律,ESP的适用范围是什么,ESP定律的原理是什么,如何使用ESP定律?看到了我在“”调查结果
esp32-i2s-sampling
03-30
采样是根据奈奎斯特定理,通过在一定频率下对模拟信号进行取样,确保能无失真地恢复原始信号。在I2S协议中,采样率决定了每秒采集的样本数量,常见的采样率有44.1kHz、48kHz等。每个样本通常包含多个位,表示模拟...
unity如何实现图片透视_FPS透视自瞄从入门到入狱
weixin_39656513的博客
11-21 1632
导语本文仅限于技术交流,旨在阐述ESP与AimBot的原理,帮助更多游戏开发者学习防范ESP与AimBot的方法。前言自从1993年的FPS神作——毁灭战士发行以来至今,FPS(第一人称射击)游戏的热度从未衰减。随着网络游戏的飞速发展,FPS多人在线游戏的代表——绝地求生、Apex等大逃杀类游戏在吸引到越来越多玩家。由于FPS游戏的安全性问题,这类游戏也受到了黑色产业的“青睐”,Extr...
labview-数据通信
12-24
1928年奈奎斯特准则和取样定理。1948年香农定理。 20世纪50年代发明半导体,从而数字通信得到发展。20世纪60年代发明集成电路。 20世纪40年代提出静止卫星概念,但无法实现。20世纪50年代航天技术。 1963年第一次...
ESP定律原理详解
蚁景网安学院
03-26 750
0x00 前言闲着也是闲着,在逆向某软件时深入了解了下ESP定律,然后就想写个文章记录并分享下。ESP定律又称堆栈平衡定律,是应用频率最高的脱壳方法之一 ,不论是新手还是老手都经常用到。...
ESP定律.rar
03-15
ESP定律给密的程序脱壳的资料。反汇编密解密。
详细介绍了脱壳常用的esp定律
10-03
详细介绍了脱壳常用的esp定律
ESP定律 和手动脱壳原理分析 <转>
secondwatch的专栏
08-02 1372
原文地址:http://hi.baidu.com/love_fj1314/blog/item/b82544cfea83b05a0fb34593.html ESP定律手动脱壳原理分析 一.准备知识 在我们开始讨论ESP定律之前,我先给你讲解一下一些简单的汇编知识。 1.call 这个命令是访问子程序的一个汇编基本指令。也许你说,这个我早就知道了!别急请继续看完。call
esp定律手动nspack 3.7_ESP定律原理详解
weixin_39763640的博客
11-23 151
原创作者: 青空 本文涉及知识点靶场练习——利用ESP定律进行脱壳: 理解ESP原理的操作机理并掌握使用ESP原理进行脱壳的流程。实验:利用ESP定律进行脱壳(合天网安实验室)​www.hetianlab.com0x00 前言疫情期间闲着也是闲着,在逆向某软件时深入了解了下ESP定律,然后就想写个文章记录并分享下。 ESP定律又称堆栈平衡定律,是应用频率最高的脱壳方法之一 ,不论是新手还是老手都经...
ESP定律的原理及其适用范围
D_R_L_T的博客
07-07 2780
一、准备知识 在我们开始讨论ESP定律之前,我先给你讲解一下一些简单的汇编知识。1.call这个命令是访问子程序的一个汇编基本指令。也许你说,这个我早就知道了!别急请继续看完。call真正的意义是什么呢?我们可以这样来理解:1.向堆栈中压入下一行程序的地址;2.JMP到call的子程序地址处。例如:00401029.E8 DA240A00 call 004A35080040102E.5A ...
OEP和ESP定理
java开发指南博客 【转载】
04-07 221
OEP   OEP:程序的入口点,软件壳就是隐藏了OEP(或者用了假的OEP), 只要我们找到程序真正的OEP,就可以立刻脱壳。 PUSHAD (压栈) 代表程序的入口点   POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个OEP就在附近拉    常见寻找OEP脱壳的方法 方法一: 1.用OD载入,不分析代码! 2.单步向下跟踪F8...
ESP定理手动脱壳
最新发布
2301_81223471的博客
03-15 519
本人还是一个正在摸索的小白,可能会有说错的地方,请大家多指点!本人这篇文章可以让大家了解如何快速的过掉简单的壳,并没有讲解壳的执行流程等知识。使用ESP定律脱壳之前 ,我们要先知道什么是ESP定律,ESP汇编中的栈顶寄存器,存放着栈顶的地址,栈顶和栈底有一个特性,那就是堆栈平衡,尤其是在调用函数的时候表示的尤为明显。
ESP脱壳定律
不凡乃大的博客
07-03 1364
ESP脱壳定律
多写一点关于ESP8266
04-04
ESP8266是一种高度集成的Wi-Fi微控制器,广泛应用于物联网和智能家居领域。它可以作为一个独立的处理器,也可以作为一个附到另一个微控制器上的Wi-Fi模块。 ESP8266集成了一颗32位Tensilica L106微控制器,具有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值