简单脱壳教程笔记(3)---手脱UPX壳(2)

最新推荐文章于 2024-08-25 22:46:12 发布
最新推荐文章于 2024-08-25 22:46:12 发布
阅读量5.9k 收藏 6
点赞数 3
分类专栏: 壳相关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oBuYiSeng/article/details/50926247
版权
本文是简单脱壳教程笔记的第三部分,重点介绍除了单步跟踪法之外的三种方法:ESP定律法、2次内存镜像法和一步直达法。通过这些方法,可以有效针对UPX和ASPACK壳进行手工脱壳操作,详细步骤包括设置断点、观察ESP变化、内存镜像分析等,帮助读者深入理解脱壳过程。
摘要由CSDN通过智能技术生成

         我们接着上一篇   ”简单脱壳教程笔记(2)---手脱UPX壳(1)“继续。我们说了UPX我们可以使用四种方式,上一篇已经详细的讲解了单步跟踪法,接下来,我们讲解其他方式。

        方法2:ESP定律法

            ESP是我们的是一个寄存器,当程序使用pushad命令入栈的时候,只会让esp突变,根据堆栈平衡的原则,我们就可以找到OEP了。

            操作:

                    1、找到关键句的下一句,将程序运行到此处,我们此处的关键代码就是pushad,将程序执行到下一句,就会发现ESP突变。

   


                   2、然后在命令行窗口中使用命令进行设置断点

                  可以在ESP上右键,选择在数据窗口中跟随,也可以使用dd  或 hr 

                   dd XXXXX    转存在堆栈格式

                    hr XXXXX   访问时进行硬件中断

                    

最低0.47元/天 解锁文章
布衣僧
关注
专栏目录
简单脱壳教程笔记(1) --- 常见语言的入口点
oBuYiSeng的博客
03-18 2373
的分类:压缩、加密      常见语言的入口点: VB: 004012D4 >  68 54474000     push QQ个性网.00404754 004012D9    E8 F0FFFFFF     call 004012DE    0000            add byte ptr ds:[eax],al 004012E0    0000
简单脱壳教程笔记(11) --- 脱WinUpack加的
oBuYiSeng的博客
04-16 2831
笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9466056 加条件断点的方法 1、加载程序后,使用单步进行,运行到0043e645处,发现此处是跳转到OEP的但是 跳转没有实现 2、在0043e645处添加条件断点,只要e
脱壳方法 vmp 和各种脱壳经验
最新发布
nn_84的博客
08-25 467
脱vmp 我要说明一件事情 加了随机地址的vmp 是无法脱的 因为 入口地址会出问题 你脱 那么入口地址一定是固定的 这样就不可能正常 但没有随机的过程编程的程序 oep就是401000 连对象编程的程序 也是 401000 之所以 脱后不正常 是因为 把资源和导入导出表 加密 但过程编程 只需跑完 virtualalloc 函数后 直接 转跳到 401000 就可以脱壳了。
简单脱壳教程笔记(8)---手脱EZIP
oBuYiSeng的博客
04-10 2428
笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9466056 EZIP :       当加载到OD中的时候,会发现有一串jmp       操作 1 单步   1、我们单步跟踪即可,找到OEP
BUUCTF-Reverse:内涵的软件
_Co1a
11-20 1720
题目地址:https://buuoj.cn/challenges#%E5%86%85%E6%B6%B5%E7%9A%84%E8%BD%AF%E4%BB%B6 查: Not packed , try OllyDbg v2 - www.ollydbg.de or IDA v5 www.hex-rays.com or x64 debug v0024 www.x64dbg.com DBAPP{49d3c93df25caad81232130f3d2ebfad} 这串东东很可以,把它转化成字符串,发现没
160个Crackme -008解析
qin_code的博客
01-27 744
首先用Exeinfope.exe 了解信息,vb写的,Not packed 无 双击运行,发现报错。 直接用everything 搜索一下MSVBVM50.DLL,crackme其他地方有这个dll,复制到当前目录。双击运行,正常运行。 发现标题乱码,随便点点,猜测是其他语言,用自动翻译试下,好像是德语。 继续往下,挂od,搜索文本字符,看到可疑地方,转过去打断点. 观察代码,很容易猜想到是跟SynTaX 2oo1 做比较,然后根据结果...
aspack最新版2.28
11-21
aspack最新版2.28 很好用的一款加
简单脱壳教程笔记(2)---手脱UPX(1)
热门推荐
oBuYiSeng的博客
03-18 1万+
笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。        ximo早期发的脱壳基础视频教程 下载地址如下:            http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E8%A7%86%E9%A2%91%E6%95%99%E7%A8%8B/ximo%e8%84%b1%e5%a3%b3%e5%9f%
Linux 下 Upx 脱壳笔记 - 黑白网络.htm
04-19
Linux 下 Upx 脱壳笔记 - 黑白网络.htm
upx3.94手动脱壳
海阔天空
07-15 5144
工具: 吾爱破解论坛Ollydbg ImportREConstructor upx3.94下载地址:https://github.com/upx/upx/releases/download/v3.94/upx394w.zip 环境:XP(还是XP下方便,win7有ASRL干扰,ImportREConstructor识别的基地址不对) 自己写了一个很简单的程序,用upx,使用ESP定...
脱壳-寻找OEP】通过堆栈平衡法找到OEP(ESP定律)
这个人很懒什么都没有留下
10-19 459
本次教程用的还是用UPX的加密,直接载入这个文件可以看到一个pushad,每个pushad都有他对应的popad,他的作用就是把右边的寄存器内容压入栈中,popad就是把压入栈中的内容进行还原。我们到堆栈里给他设置一个硬件访问断点,因为他是从第一个开始弹出所以要在第一个地址里设置断点,所以等到他pop出来还原的时候也就是解码完成了,就可以顺着找到oep。对比后发现他把内容都给压入到栈中了,到popad那一步的时候他又会把压入的内容还原到堆栈中去。跳过去就是我们的OEP了。
upx-ripper
09-02
脱壳工具,用于把EXE文件或DILL文件脱壳,然后用CE查找修改,一般用于修改游戏
使用Zlib实现压缩和解压缩
yoki2009的专栏
06-23 1万+
使用Zlib实现压缩和解压缩 //All right revsered by yoki2009 //mailto:imj040144@tom.com //微出版 www.epube.biz 相信梦想无界 压缩流程: 1.使用zlib做压缩,先调用deflateInit(),这个函数必须在使用deflate之前,zalloc,zfree和opaque等字段都是在deflateInit被初
[Zlib]_[初级]_[使用zlib库解压提取文件]
Tobey(我是机器人)
03-28 1万+
场景: 1. zlib库跨平台,Windows和MacOSX都可以使用,还支持64位编译,轻量级,没有不用的道理。 2. 处理.zip,apk,docx文件时,因为这类文件都是zip格式,使用zlib能方便提取压缩文件里的数据。
zlib压缩和解压的使用
化石
09-11 9611
1、unzOpen(filePath) 这个方法可以打开一个压缩文件,返回一个句柄,这个句柄将在后面的方法中被用到。 2、unzGetGlobalInfo() 这个可以得到全局的信息。常用的是压缩包里的文件个数。 3、unzGotoFirstFile() 定位到压缩文件中的第一个文件。     3.1 unzGetCurrentFileI
zlib压缩解压
bewinged
04-02 383
#include <stdio.h> #include <stdlib.h> #include <string.h> #include <zlib.h> #include <assert.h> #define SIZE_CHUNK (8 * 1024) static int __do_inflate_write(z_stream ...
【转】脱壳工具
学习........
06-10 4162
脱壳工具http://www.pediy.com/tools/unpacker.htm 文件类型侦测工具 peid 0.94
【CTF Reverse】XCTF GFSJ0004 IgniteMe Writeup(反编译+逆向工程)
HEX9CF的技术博客
04-30 659
暂无。
Out of memory error on GPU 0. Cannot allocate 5.495453GB memory on GPU 0, available memory is only 2
weixin_42076509的博客
05-09 7204
显存爆炸了,把batch_size调小一点 由于显存每分钟采样一次,所以你正在看的可能不太准,等一会再看显存曲线,就发现了
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值