【图】用ESP定律脱壳

最新推荐文章于 2024-03-15 19:29:17 发布
最新推荐文章于 2024-03-15 19:29:17 发布
阅读量2.8k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qingye2008/article/details/1833438
版权

用堆栈平衡定律脱壳【附图】





用PEiD查壳,看【图1】



用OD载入,【图2】,注意ESP的值变化




F8单步,来到这,看见ESP值变化,在命令窗口中输入【图3】




继续F8,单步,走到我们想到的地方【图4】




现在到了OEP了,接下来脱壳【图5】



看清【图6】,记下修正值,如果程序需要修复要用到这个值



用PEiD查看已经脱壳的程序【图7】



用修复软件,先运行没有脱壳的程序,然后选中他的进程【图8】



输入【图6】中记下的OEP,点击自动搜索TAT,【图9】



获取输入表【图10】,看见输入表函数都是有效的。



抓取需要修复的程序【图11】
qingye2008
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
(一) —— ESP定律
weixin_44122225的博客
11-20 2211
1.PUSHAD (压栈) 代表程序的入口点, 2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近 3.OEP:程序的入口点,软件加就是隐藏了OEP(或者用了假的OEP/FOEP),只要我们找到程序真正的OEP,就可以立刻。 一、ESP定理 (通过下ESP硬件访问断点找到OEP) 1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突现变成红色。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) 2.选中ESP,进行数据访问
第三课_ESP定律&简单爆破
07-15
第三课_ESP定律&简单爆破 入门转高手课程系列
ESP定律(吾爱复现)
weixin_49764009的博客
12-21 2595
ESP定律法简介 ESP定理ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了!) 1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突变成红色。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) 2.在命令行下:dd XXXXXXXX(指在当前代码中的ESP地址,或者是hr XXXXXXXX),按回车! 3.选中下断的地址,断点—>硬件访—>WORD断点。 4.按一下F9运行程序,直接来到了跳转处,按下F8,到达程
ESP定律
不凡乃大的博客
07-03 1347
ESP定律
破解入门(五)-----实战"ESP定律法"
系统运维
06-10 627
ESP定律法的步骤 ESP定理ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了!) (1)开始就点F8,注意观察OD右上角的寄存器中ESP有没突现(变成红色)(这只是一 般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) (2)在命令行下:ddXXXXXXXX(指在当前代码中的ESP地址,或者是hrXXXXXXXX), ...
ESP定律的原理及其适用范围
D_R_L_T的博客
07-07 2720
一、准备知识 在我们开始讨论ESP定律之前,我先给你讲解一下一些简单的汇编知识。1.call这个命令是访问子程序的一个汇编基本指令。也许你说,这个我早就知道了!别急请继续看完。call真正的意义是什么呢?我们可以这样来理解:1.向堆栈中压入下一行程序的地址;2.JMP到call的子程序地址处。例如:00401029.E8 DA240A00 call 004A35080040102E.5A ...
OD动调之:使用ESP定律寻找
09-03
在本场景中,我们关注的是“OD动调之:使用ESP定律寻找”,这通常指的是利用OllyDbg(OD)这样的动态调试器来分析和移除程序的保护。"mazeupx"标签暗示了我们要处理的是一个使用UPX的程序,UPX是一种广泛...
第二课_ESP定律详解&LordPE
07-15
第二课_ESP定律详解&LordPE,入门指导
详细介绍了常用的esp定律
10-03
详细介绍了常用的esp定律
第一讲,手工ASPack2.12的.ESP定律-附件资源
03-05
第一讲,手工ASPack2.12的.ESP定律-附件资源
ESP定律.rar
03-15
ESP定律给加密的程序的资料。反汇编和加密解密。
逆向入门之使用ESP定律
a3320315的博客
04-03 1351
使用ESP定律实战 查 载入OD 首先F8 在这么多寄存器中,只有ESP是红色的,则可以使用ESP定律 选择好ESP地址,然后右键,在数据窗口中跟随 这个时候就来到了ESP指定的地址 然后选择几个数据(多少无所谓) 最右边三个选项随便选,都无所谓 然后点击运行,这个时候程序就会停在我们设置好的硬件断点上 然后删除硬件断点 然后一直F8 知道出现这个页面 然后右键...
ESP定律手工步骤
09-26 1477
第一步:查第二步:用OD载入。第三步:按F8单步向下走,注意,当右边的ESP(堆栈指针寄存器),和EIP(    指令指针寄存器)同时变红时,就停下。第四步:记下ESP地址,并在左下角的Commanc中输入 dd ESP所对应的地址。    并回车。第五步:在数值下面单击右键--断点----硬件访问---WORD。第六步:按F9运行来到断点。第七步:然后在按F8单步向下走,注意:一个大跳转就来到
ESP定理手动
最新发布
2301_81223471的博客
03-15 482
本人还是一个正在摸索的小白,可能会有说错的地方,请大家多加指点!本人这篇文章可以让大家了解如何快速的过掉简单的,并没有讲解的执行流程等知识。使用ESP定律之前 ,我们要先知道什么是ESP定律ESP是汇编中的栈顶寄存器,存放着栈顶的地址,栈顶和栈底有一个特性,那就是堆栈平衡,尤其是在调用函数的时候表示的尤为明显。
利用ESP定律进行 ——合天网安实验室学习笔记
weixin_42582241的博客
03-17 970
实验链接 通过本实验理解ESP原理的操作机理,并掌握使用ESP原理进行的流程。 链接:http://www.hetianlab.com/expc.do?ce=ec372be3-7a24-4309-838d-92dc0e83869b 实验简介 实验所属系列: CTF竞赛 实验对象: 本科/专科信息安全专业 相关课程及专业: Windows编程,C语言,汇编语言 实验类别: 实践实验类 预备知识 ...
手动_ESP定律
m0_74091653的博客
09-17 231
UPX是一种常见的压缩。通过PEID检测到是UPX的的话,可以用如下四种方式来:单步跟踪法、ESP定律、内存镜像法、POPAD查找法1.单步跟踪法执行单步跟踪程序,当发现大跨度跳转如JMP、JE、RETN等指令出现时,程序入口点(Original Entry Point,OEP)可能就在附近。2. ESP 定律法。
使用ESP定律_手工
weixin_30521161的博客
07-05 227
ESP定律一般的加软件在执行时,首先要初始化,保存环境(保存各个寄存器的值),一般利用PUSHAD(相当于把所有寄存器都压栈),当加程序的外执行完毕以后,再来恢复各个寄存器的内容,通过跨区段的转移来跳到程序的OEP来执行原程序,简单点来说就是会将加过程执行一遍之后会跳到OEP来执行源程序,当我们找到了OEP的时候就是找到了源程序,即可实现。 通常在软件的破解过程中,会遇到代码经过...
【破解方法】可用ESP定律的16种
一个人的软件艺术
11-20 2877
ESP 定律:就是加载程序后 F8单步运行 第一个变化的 ESP 值,右击寄存器上 ESP 在转存中跟随,在内存地址上 选中前四个,右击,断点,硬件访问,word F9,中断,….返回。(D 12ffc0 选四个下硬件写入 dword) 我的其它小记1. Aspcak 方法:ESP+6175(Sb) POPAD JMP2. UPX 方法:S 0000 The First JMP变种ESP+S (60E9)0040EA0E 60 PUSHAD0040EA0F – E9 B826FFFF JMP chap702
见过的最详强的讲ESP定律(推荐)
01-23 931
导读:      FROM: poptown.gamewan.com/bbs      E-MAIL:meila2003@163.com          1.前言      在论坛上看到很多朋友,不知道什么是ESP定律ESP的适用范围是什么,ESP定律的原理是什么,如何使用ESP定律?看到了我在“”调查结果发现,大家对ESP定律很感兴趣,当然因为实在是太好用了,现在我就来告诉大家什么是
简述ESP定律中的应用。
06-10
中,我们可以利用ESP定律来定位加程序的OEP(Original Entry Point),即程序的入口点。 具体来说,我们可以通过在加程序中设置断点,然后在断点处查看ESP的值,找到调用加之前的ESP的值,从而推断出...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值