手动脱壳_ESP定律

最新推荐文章于 2024-04-18 20:49:59 发布
最新推荐文章于 2024-04-18 20:49:59 发布
阅读量172 收藏 1
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74091653/article/details/132941433
版权

UPX是一种常见的压缩壳。通过PEID检测到是UPX的壳的话,可以用如下四种方式来脱壳:

单步跟踪法、ESP定律、内存镜像法、POPAD查找法
1.单步跟踪法
执行单步跟踪程序,当发现大跨度跳转如JMP、JE、RETN等指令出现时,程序入口点(Original Entry Point,OEP)可能就在附近。
2. ESP 定律法
ESP是栈顶指针寄存器,保存了下次将要弹出的内容,其遵循堆栈平衡原理,在壳对程序进行操作加密或者压缩时,会把程序的 OEP 压入栈中,当壳执行完成后,进行解密或者解压缩,会把真正的 OEP 从栈中弹出,从而找到程序入口点。
在OD中,按F7键单步执行程序,当ESP 寄存器变红时,右击ESP,以便数据窗口跟随,对该处设置DWORD 硬件断点,然后按F9键运行程序跟踪到 OEP。
3.2次内存镜像法
在壳进行解密或解压缩时,最后释放的是资源区段:.rsrc,这个区段被释放完全后,说明整个程序已经被全部解密。在OD中,按组合键“Alt+M”打开内存窗口,找到第一个资源区段,在此设置断点,按“Shift+F9”组合键运行,再到内存窗口找到地址为401000的代码区段设置断点并运行,结合单步跟踪法找到 OEP。
找到OEP 后使用 OD 的 Dump 功能将当前程序代码保存下来,再使用输入表重建工具 ImportREC 修复该程序。

案例 ESP定律

查壳

OD打开

F8 发现ESP、EIP变红了

1、右击ESP选择Follw inDumb(数据窗口中跟随)

2、选中前4个字节右击选择Breakpoint 、Herd ware,on access  (设置硬件断点)

3、F9运行  注意^

4、点0040E620 (也就是jnz下面的一行)F4 、F8

5、继续F8 发现进入OEP 直接右击选择Dump debugged process  Dump下来

6、之后可以用输入表重建工具 ImportREC 修复该程序

C -yi
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SDK.rar_c 脱壳_unpacker_脱壳_通用脱壳
09-24
通用的脱壳引擎,支持ASM,C++,DELPHI等语言
手动脱壳教程 第一课.手脱UPX的四种方
10-13
给大家的见面礼!呵呵 这是一个给菜鸟的基础教程。 1第一课.手脱UPX的四种方
第三课_ESP定律脱壳&简单爆破
07-15
第三课_ESP定律脱壳&简单爆破 入门转高手课程系列
第二课_ESP定律详解&LordPE脱壳
07-15
第二课_ESP定律详解&LordPE脱壳,入门指导
16种可用ESP定律脱的壳
01-29
详尽介绍了可以用ESP定律手动脱壳,我学习后受益匪浅。
脱壳(一) —— ESP定律
weixin_44122225的博客
11-20 2174
1.PUSHAD (压栈) 代表程序的入口点, 2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近 3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP/FOEP),只要我们找到程序真正的OEP,就可以立刻脱壳。 一、ESP定理脱壳 (通过下ESP硬件访问断点找到OEP) 1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突现变成红色。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) 2.选中ESP,进行数据访问
ESP脱壳定律
不凡乃大的博客
07-03 1287
ESP脱壳定律
利用ESP定律手动脱upx壳
2201_75522173的博客
07-07 342
ESP定律脱壳的利器,是应用频率最高的脱壳之一.
ESP定律脱壳(吾爱复现)
weixin_49764009的博客
12-21 2365
ESP定律简介 ESP定理脱壳ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了!) 1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突变成红色。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) 2.在命令行下:dd XXXXXXXX(指在当前代码中的ESP地址,或者是hr XXXXXXXX),按回车! 3.选中下断的地址,断点—>硬件访—>WORD断点。 4.按一下F9运行程序,直接来到了跳转处,按下F8,到达程
upx手动脱壳
qq_36963214的博客
10-26 6466
upx upx是一个开源的工具,可以到github下载upx upx简单的用 upx src.exe命令将src.exe加壳 upx src.exe -o dst.exe命令将src.exe加壳并另存为dst.exe upx手动脱壳
VMP-unpacking.rar_VMProtect2.46_vmp3 0脱壳_vmp3.0-3.0x脱壳_vmp一键脱壳_v
07-15
VMP脱壳,通过简单几个步骤不需要去研究VMP的原理了。
IDA.rar_IDA静态脱壳_ida_脱壳_逆向
09-20
刚接触逆向的,可能不知道静态脱壳是怎么回事,KANXUE建议我把文章发出来,带动一下学习气氛。。于是文章就发出来了。。 我的文章由于只是IDA教程,只是用IDC将加壳的PE文件在IDB文件上脱壳,并修复API符号,到能分析的程序,并没有修复成脱壳的PE文件。 另,我脱的是MSLRHv0.31a。比较简单的壳,适合初学者学习
ESP定律原理详解,只看这一篇文章就够了
QL_2023的博客
02-22 297
以上就是我对ESP定律的理解,如有错误,请轻喷,我也还只一只刚迈入二进制世界的菜鸟,希望我这篇文章对刚入门的小白有所帮助>_
通过手动给upx去壳简单了解逆向
A_991128a的博客
08-27 1720
对于像我这种想入门逆向的,这种方式真的可以培养兴趣,也从中学到了很多知识,我也不会仅仅止步于脱upx的。[外链图片转存中…(img-xkCBlSoD-1693021558445)]即可。对于像我这种想入门逆向的,这种方式真的可以培养兴趣,也从中学到了很多知识,我也不会仅仅止步于脱upx的。
使用x64dbg手动脱UPX壳(UPX4.1.0)
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
09-28 1407
ESP定律就是当只有ESP(RSP)变红,变红就是值发生了改变,这时候找到ESP所指向的内存位置,打一个硬件断点,按下F9运行到停下的位置,这个位置后面一般有一处跳转,完成跳转之后的地方就是OEP(程序真正的入口点)单步运行到此处,发现只有RSP变红,根据ESP定律,进行下面的操作。所谓定律就像墨菲定律,想表达事物规律往往是这样的。打开符号,进入第一个sample.exe。进入后在第一个位置下断点,按下F9运行。本文选用的壳是4.1.0的UPX壳。我们在紧跟的跳转处设断,运行。打好断点后运行,停在了此处。
upx手动脱壳esp定律手动脱壳
__ys的博客
06-02 1256
ESP定律手动脱壳 拿到有upx壳的文件后,首先用xdbg打开。 然后F9运行到用户代码(有upx壳文件一般为pushed) 然后F8单步运行一下,发现右边寄存器esp变红了,因此此处可以使用esp定律 接下来按图示方: F9运行 发现popad,它的出现标志着我们的程序可能到达OEP,经验证下方的jmp跳转即为OEP 在jmp处下断点,F9运行,F8单步运行,到达OEP 之后用Scylla插件进行脱壳,具体步骤如下: 第一步点击IAT Autosearch 第二步点击Get Import
对于UPX脱壳的解决
qq_54894802的博客
01-01 2972
因此根据这个原理,我们可以在堆栈处,设置访问断点,让程序运行,当程序暂停的时候,就是壳程序即将执行完的时候,然后在其附近单步跟踪就可以找到原始OEP了。通过这两到题,我们大致可以发现,upx脱壳,就是去寻找可疑点,jmp,或者ret,因为壳是一个程序,因此我们脱壳就是要其运行完成的结果,所以我们在脱壳过程中总是要跳到ret,也就是这个原因。对于脱一般的程序壳的时候,我主要用的是ida来脱壳,一般ida实在脱不了了再想到用od来脱,od,,所以我记录的大多都是用的ida来脱的。然后运行,寻找可疑点。
UPX手动脱壳
m0_46296905的博客
04-23 1744
脱壳入门,不喜勿喷,欢迎指正。 参考《加密与解密(第四版)》 0x01 壳&脱壳 首先了解一下什么是壳, 壳实质上是一个子程序,它在程序运行时首先取得控制权并对程序进行压缩。同时隐藏程序真正的OEP。 而脱壳的过程总体分为三个步骤: 查找真正的程序入口点 抓取内存镜像文件 重建PE文件 关于壳的类型有以下几种: 解压->运行 解压->运行->解压.->运行 解压 decoder|encoded code->decode ->exc Run th.
安全开发实战(4)--whois与子域名爆破
最新发布
weixin_72543266的博客
04-18 932
安全开发实战(4)--whois与子域名爆破 Whois 查询是一种用于获取有关互联网域名注册信息的公共查询服务。当注册一个域名时,必须提供一些个人或组织信息,例如姓名、电子邮件地址、联系电话等。这些信息通常是公开的,可以通过 Whois 查询来获取。在渗透测试中,Whois 查询可以我们收集目标组织的关键信息。组织联系信息:包括名称、地址、电话号码和电子邮件地址。这些信息可以用于建立联系、进行社会工程攻击或者其他类型的攻击。域名到期日期:了解域名何时到期可以帮助我们预测目标可能面临的安全风险。
简述ESP定律脱壳中的应用。
06-10
ESP定律是指在函数调用时,栈指针ESP的值会随着参数压栈和返回地址压栈而发生变化。在脱壳中,我们可以利用ESP定律来定位加壳程序的OEP(Original Entry Point),即程序的入口点。 具体来说,我们可以通过在加壳程序中设置断点,然后在断点处查看ESP的值,找到调用加壳壳之前的ESP的值,从而推断出OEP的地址。这是因为,在调用加壳壳之前,程序的栈指针ESP指向的是原始程序的栈帧,而在加壳壳中,栈指针ESP的值会随着加壳壳代码的执行而发生变化。因此,通过查看ESP的值,我们可以找到加壳之前的ESP值,从而得到OEP的地址。 ESP定律脱壳中的应用还包括了调试器中的寄存器监视功能,我们可以将ESP寄存器设置为监视对象,当ESP寄存器的值发生变化时,调试器会自动跳转到相应的代码行,帮助我们更方便地定位OEP。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值