- 博客(2)
- 收藏
- 关注
RSS订阅原创 脱壳之压缩壳-FSG
前言 因为FSG是压缩壳,所以脱壳时最应该尝试的是ESP定律,其次就是单步跟踪,这里入口点没有PUSHAD/PUSHFD指令,所以用单步跟踪寻找OEP,再者也可以尝试用API特征寻找OEP API特征: release版的VS2013的第一个API调用是:GetSystemTimeAsFileTime VC6.0的第一个API调用是:GetVersion Delphi的第一个API调用是:GetModuleHandleA 单步跟踪寻找OEP 1、OD加载程序后,单步观察堆栈变化 ..
2021-08-08 19:25:58
194
原创 ESP定律脱压缩壳aspack
查看信息 查看加壳信息,这是压缩壳aspack 关闭随机基址 如果启用了随机基址,可以使用010Editor将OptionalHeader中这个字段置为0,关闭随机基址 寻找OEP 使用OD加载程序,当看到PUSHAD/PUSHFD指令时,判断程序已加壳 步过PUSHAD,对ESP(当前堆栈)下访问断点或者是写入断点 让程序跑起来,中断的地方即为POPAD/POPFD,从这里单步走几次之后,一般就能找到原始OEP DUMP内存到文件 在原始OE...
2021-08-08 18:56:38
197
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人