简单脱壳教程笔记(10) --- 手脱EXE32PACK壳

最新推荐文章于 2024-05-15 08:49:47 发布
最新推荐文章于 2024-05-15 08:49:47 发布
阅读量6.4k 收藏 4
点赞数
分类专栏: 壳相关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oBuYiSeng/article/details/51169938
版权

  本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。本笔记用到的工具下载地址:

http://download.csdn.net/detail/obuyiseng/9466056


EXE32PACK

1.ESP定律

1、将程序加载到OD中,发现有大段的加密指令,我们先单步走,到达关键指令,push ebp




2、单步运行到cmp eax,eax处,在寄存器窗口的esp处,右键在数据窗口跟随,并在数据窗口中进行设置硬件断点。




3、按运行,并删除硬件断点




4、然后单步,就会到达OEP





2.下断:BP IsDebuggerPresent 

1、加载程序后,下载断点       BP IsDebuggerPresent ,然后回车,shift+f9运行,然后取消断点,
  

 
2、 并按shift+f9 返回到用户代码

3、单步执行 计算ss+edi  转到OEP!








布衣僧
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
简单脱壳教程笔记(3)---手脱UPX(2)
oBuYiSeng的博客
03-18 5853
我们接着上一篇   ”简单脱壳教程笔记(2)---手脱UPX(1)“继续。我们说了UPX我们可以使用四种方式,上一篇已经详细的讲解了单步跟踪法,接下来,我们讲解其他方式。         方法2:ESP定律法             ESP是我们的是一个寄存器,当程序使用pushad命令入栈的时候,只会让esp突变,根据堆栈平衡的原则,我们就可以找到OEP了。
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 1080
就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加的程序时,系统首先会运行程序里的,然后由将加密的程序逐步还原到内存中,最后运行程序。加虽然对于特征码绕过有非常好的效果,加密基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为自己也有特征,主流的如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
台达 循环移位指令(ROR、ROL、RCR、RCL 、SFTR、SFTL、WSFR、)
最新发布
2303_79029685的博客
05-15 603
ROR是循环右移指令;Kn是每次移位个数。ROR是对16位数据进行移位;DROR是对32位数据进行移位;RORP是遇到上升沿才进行16位循环右移。SFTR (位右移) S D n1 n2。SFTL(位左移) S D n1 n2。也就是后面3个位连同标志位组成4个位然后右移。WSFR(字右移)、WSFL(字左移)的数据放在这个特殊辅助继电器中。不同点: 对移位对象的位数中。的数据放在这个特殊辅助继电器中。RCR: 附进位标志右循环。RCL: 附进位标志左循环。
视频笔记-吾爱破解ximo脱壳视频1~10
I have a dream
04-01 1363
总结归纳一下脱壳的几种方法: 1、单步跟踪法: 即F8一直运行下去,直到找到OEP 向下的跳转可以进行,向上的跳转不能进行 2、ESP定律法: 利用堆栈平衡原理,找到OEP 适用于:大部分的。例如:UPX、ASPACK、NSPACK、FSG、PECompact、EZIP、EXE32PACK等 3、一步直达法: 利用...
【黑客免杀攻防】读书笔记16 - 脱壳技术
weixin_30929295的博客
07-15 223
1、寻找OEP 想要比较快速精准地寻找OEP,要熟悉不同语言、不同编译器的OEP特征。 1.1、利用内存断点 通过在.text段设断点的方式来找出是哪段代码正在操作此区段中的数据。一般情况下的Stub部分与宿主程序的代码段往往不在一个区段中,因此当我们在Stub部分所在的区段中发现了指向宿主程序代码段的跨段跳转时,就代表我们已经找到OEP处了。 实践脱壳:A1Pack Base De...
【黑客免杀攻防】读书笔记4 - 在免杀中的应用
weixin_30889885的博客
07-27 92
6.1 的基础知识 程序运行流程 未加程序流程 原程序 -> 加载到内存中 -> 顺利执行 加程序流程 加程序 -> 加密的原程序读取到内存 -> 解密并释放 -> 原程序加载到内存中 -> 顺利执行 的运行过程 加载API函数 解密区段 进行代码重定位 转到入口点 6.2 在免杀领域的作用 加免杀的原理 据我了解...
简单加密项目笔记
BRUCE的博客
12-14 1912
项目分为两部分组成,一个是加程序,主要用于加密目标文件后生成一个新的可执行程序;另一个是本身DLL程序,主要用于在程序运行之前先解密被加密的部分。 一、第一部分——加程序 第一步,打开加的目标程序,读取数据。初步解析一下是不是PE文件。 CPE obj; //打开并获取文件PE数据 obj.GetFileBuf(PATH); bool CPE::GetFileBuf(char *
CTF-RE 笔记汇总
逆向随笔
04-02 2024
做了笔记从来不看系列……丢云端清本地了 文章目录滴水2015-01-12(进制01)2015-01-13(进制01)2015-01-14(数据宽度_逻辑运算)2015-01-15(通用寄存器_内存读写)2015-01-16(内存地址_堆栈)2015-01-19(标志寄存器)2015-01-20(JCC补录)2015-01-23(C语言完整版)2015-01-26 (c语言02_数据类型)2015-02-05 (结构体 字节对齐)2015-02-06 (switch语句反汇编)指针位运算汇编笔记第二章 寄存器
脱壳第一篇(基础知识)
Winter_Zero的博客
12-27 1396
什么是的作用是什么? 简单举个例子:鸡蛋 “ 鸡蛋 ” 也是,其作用就是保护里面的蛋白和蛋黄。 “ 软件上的 ” 本质上就是代码,但是我们形象的称之为。其作用就是保护程序,确切的说是隐藏OEP( 原始入口点 ) 在吃鸡蛋的时候,我们要做的第一件事,就是“ 脱壳 ”。 同样的,“ 软件上的 ”也是类似的,程序在运行的时候,首先就是运行的代码(程序自己给自己脱壳)。 那么怎么辨别...
《加密与解密》ASProtect 2.1x SKE 脱壳过程中遇到的问题与解决方法及脱壳小结
u010486366的博客
01-19 1425
在学习《加密与解密》脱壳部分时,做了一次关于ASProtect的脱壳实验,但按照书上的步骤会报保护错误(Protect error)。为了明白原因,我继续往下深入。除了分析结果,以下还记录了关于脱壳学习的小结,方便以后自己和坛友查看。      寻找OEP      Dump      解除 “Emulate standard system functions”功能      通过脚本解除 “Em
Themida - Winlicense Ultra Unpacker 脱壳教程
05-08
4. 还有一点要叮嘱的就是,如果脱的是32位系统的,请在32位系统中进行操作,不然会有意想不到的错误出现。 5. 所需要的所有插件及脚本都已经放置到软件包中了! 6. 重要内容说三遍:关闭杀毒软件*10000!哈哈!
脱壳教程第1-4篇
12-26
脱壳教程第1-4篇
VMP-unpacking.rar_VMProtect2.46_vmp3 0脱壳_vmp3.0-3.0x脱壳_vmp一键脱壳_v
07-15
VMP脱壳,通过简单几个步骤不需要去研究VMP的原理了。
破解高手--实战查脱壳制作破解注册机最详细的教程
05-12
破解高手--实战查脱壳制作破解注册机最详细的教程
junzz.exe 脱壳-偷梁换柱修复IAT练手程序
05-04
脱壳-偷梁换柱修复IAT练手程序
简单脱壳教程笔记(2)---手脱UPX(1)
热门推荐
oBuYiSeng的博客
03-18 1万+
笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。        ximo早期发的脱壳基础视频教程 下载地址如下:            http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E8%A7%86%E9%A2%91%E6%95%99%E7%A8%8B/ximo%e8%84%b1%e5%a3%b3%e5%9f%
简单脱壳教程笔记(4)---手脱ASPACK
oBuYiSeng的博客
03-18 6471
笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。        ximo早期发的脱壳基础视频教程 下载地址如下:            http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E8%A7%86%E9%A2%91%E6%95%99%E7%A8%8B/ximo%e8%84%b1%e5%a3%b3%e5
简单脱壳教程笔记(7)---手脱PECompact2.X
oBuYiSeng的博客
04-10 6260
笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9465972 简介: FSG是一款压缩。 工具:ExeinfoPE或PEid、OD、LordPE、ImportREConstructor 脱壳文件:05.手脱PECompact2.X.ra
win10使用MobSF如何检测安卓App的加固是否可被脱壳,详细教程
06-09
下面是在Win10系统上使用MobSF检测安卓App加固是否可被脱壳的详细教程: 1. 下载并安装MobSF 在MobSF的官方网站(https://github.com/MobSF/Mobile-Security-Framework-MobSF)下载最新版本的MobSF,然后解压缩到本地文件夹中。 在cmd命令行中进入MobSF的根目录,运行命令“.\run.bat”启动MobSF。 2. 导入待检测的App文件 在MobSF的Web界面中,选择“New Session”按钮,然后选择要导入的App文件,MobSF会自动进行静态分析。 3. 查看App的保护信息 在MobSF的Web界面中,选择“Static Analysis”选项卡,然后选择“APK Details”页面,可以看到与该App相关的保护信息。 4. 查看加固信息 在“APK Details”页面中,可以查看该App所使用的加固信息。如果显示“None”则表示该App没有使用加固或加固不可被检测脱壳。 5. 针对加固进行脱壳测试 如果显示了具体的加固信息,则可以使用相应的工具进行脱壳测试,以确定其是否可被脱壳。例如,如果该App使用了DexGuard加固,则可以使用DexGuard Unpacker对其进行脱壳测试。 需要注意的是,MobSF并不能保证检测结果的完全准确性,因此在实际应用中需要综合考虑其他因素,如使用其他工具进行验证和对代码进行深入分析等。 另外,MobSF默认使用的是127.0.0.1:8000作为Web界面的地址,如果需要远程访问,则需要修改配置文件中的绑定IP和端口号,并在防火墙中开放相应的端口。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值