脱壳_esp定律操作

最新推荐文章于 2024-08-21 23:53:58 发布
最新推荐文章于 2024-08-21 23:53:58 发布
阅读量799 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1841370452/article/details/54845562
版权

esp定律

Pushad 

Call ASPack_2.0101300A

 

走到 这行 esp是红色的 只有esp是红色的

 选中esp  在数据窗口中跟随

 

然后选中 000DFF64 地址后的hex数据 只要是这个地址开头后的10000个都行

选中 右键 断点 硬件访问 byte word dword 三个选哪个都行 f9  运行 跑起来 断下 F8 F8 F8

 

遇到这样的 已经到了OEP  怎么办呢 右键 分析 从模块中删除分析

 

删除硬件断点

右键 od插件 脱壳  然后

不重建输入表 脱壳

有的东西重建输入表再能打开  有的不需要重建才能打开

 

「已注销」
关注
脱壳(一) —— ESP定律
weixin_44122225的博客
11-20 2277
1.PUSHAD (压栈) 代表程序的入口点, 2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近 3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP/FOEP),只要我们找到程序真正的OEP,就可以立刻脱壳。 一、ESP定理脱壳 (通过下ESP硬件访问断点找到OEP) 1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突现变成红色。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) 2.选中ESP,进行数据访问
ESP定律手工脱壳步骤
09-26 1498
第一步:查壳第二步:用OD载入。第三步:按F8单步向下走,注意,当右边的ESP(堆栈指针寄存器),和EIP(    指令指针寄存器)同时变红时,就停下。第四步:记下ESP地址,并在左下角的Commanc中输入 dd ESP所对应的地址。    并回车。第五步:在数值下面单击右键--断点----硬件访问---WORD。第六步:按F9运行来到断点。第七步:然后在按F8单步向下走,注意:一个大跳转就来到
ESP定律脱壳
最新发布
2303_81165358的博客
08-21 179
在程序执行过程中,尤其是当函数调用发生时,ESP的值会发生变化,以反映栈上新的栈帧的创建。当函数返回时,ESP的值会恢复到函数调用之前的值,以保持栈的平衡。这就是堆栈平衡定律,也称ESP定律。在加了壳的软件中,程序刚开始加载时,首先会执行解密程序,而ESP栈顶指针会在解密程序执行完毕后,跳回到真正的程序时,有一个大幅度的跳转,这个跳转过程中ESP指针会回到执行解密程序之前的值。根据这一特性,通过跟踪ESP指针的归位时刻,可以找到解密程序的结束位置,进而找到程序的入口点(EP点),从而实现脱壳
脱壳的各种方法
冷血书生的专栏
06-14 3638
先介绍一下脱壳的基本知识吧!常见脱壳知识:              1.PUSHAD (压栈) 代表程序的入口点              2.POPAD  (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近拉!              3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP),              只要我们找到程序真正的OEP,
ESP定律 和手动脱壳原理分析 <转>
secondwatch的专栏
08-02 1392
原文地址:http://hi.baidu.com/love_fj1314/blog/item/b82544cfea83b05a0fb34593.html ESP定律手动脱壳原理分析 一.准备知识 在我们开始讨论ESP定律之前,我先给你讲解一下一些简单的汇编知识。 1.call 这个命令是访问子程序的一个汇编基本指令。也许你说,这个我早就知道了!别急请继续看完。call
ESP定律脱壳
小龙在线
09-12 982
上一篇使用单步调试的方法非常慢,还可以使用ESP定律法快速定位。 OllyDbg打开notepad.exe文件: 这里我们看到程序用了pushad来保存现场环境。我们单步,按F8步过一下,运行至0040D002的位置: 这时在Ollydbg右侧的寄存器面板上,ESP对应的数值变为红色: 也就是你会发现,ESP对应的0018FF6C是红色的 我们右键点击0018FF6C,选择HW break[ESP],然后直接运行, 即按F9,我们来到了0040D3B0的位置处, 我们继续向下按F8到retn返回,就
第三课_ESP定律脱壳&简单爆破
07-15
第三课_ESP定律脱壳&简单爆破 入门转高手课程系列
第二课_ESP定律详解&LordPE脱壳
07-15
第二课_ESP定律详解&LordPE脱壳,入门指导
详细介绍了脱壳常用的esp定律
10-03
### 详细解析ESP定律及其在脱壳技术中的应用 #### ESP定律概述 ESP定律是反汇编领域中一种常用的技术手段,特别是在脱壳过程中扮演着重要角色。它主要用于定位原始入口点(Original Entry Point,简称OEP),即被...
OD动调之脱壳:使用ESP定律寻找
09-03
在本场景中,我们关注的是“OD动调之脱壳:使用ESP定律寻找”,这通常指的是利用OllyDbg(OD)这样的动态调试器来分析和移除程序的保护壳。"mazeupx"标签暗示了我们要处理的是一个使用UPX壳的程序,UPX是一种广泛...
破解入门(三)-----脱壳的常用方法
系统运维
06-09 1466
什么是壳 大家应该先明白“壳”的概念。在自然界中,我想大家对"壳"这东西应该都不会陌生了,植物用它来保护种子,动物用它来保护身体等等。同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然(当然后来也出现了所谓的“壳中带籽”的壳)。由于这段程序和自然界的壳在...
菜鸟脱壳脱壳的基础知识(四)——利用ESP定律来寻找OEP
banhanjun1518的博客
07-05 287
.上节说的是单步跟踪法,这节讲的是利用堆栈平衡(ESP定律)来进行脱壳!想必大家都听说过ESP定律这个大名吧!ESP定律运用的就是堆栈平衡原理!一般的加壳软件在执行时,首先要初始化,保存环境(保存各个寄存器的值),一般利用PUSHAD(相当于把eax,ecx,edx,ebx,esp,ebp,esi,edi都压栈),当加壳程序的外壳执行完毕以后,再来恢复各个寄存器的内容,通常会用POPAD...
【图】用ESP定律脱壳
qingye
10-19 2851
用堆栈平衡定律脱壳【附图】用PEiD查壳,看【图1】 用OD载入,【图2】,注意ESP的值变化 F8单步,来到这,看见ESP值变化,在命令窗口中输入【图3】 继续F8,单步,走到我们想到的地方【图4】现在到了OEP了,接下来脱壳【图5】 看清【图6】,记下修正值,如果程序需要修复要用到这个值 用PEiD查看已经脱壳的程序【图7】 用修复软件,先运行没有脱壳的程序,然后选中他的进程【图8】
手动脱壳---ESP定律
Casuall的博客
06-04 1105
首先这篇文章不是讲ESP定律原理,第一次接触ESP定律,跟着教程做了一遍,做个笔记,记录手动脱壳的过程。 首先载入OD,F8执行到pushad下面的call,然后观察寄存器,如果只有ESP和EIP是红色的,那么可以用ESP定律。 右键ESP的数据,选择数据窗口中跟随,可以看到左下角的数据窗口发生了跳转。 然后选择第一个数据 --> 右键 --> 断点 --> 硬件访问 --&...
ESP脱壳定律
不凡乃大的博客
07-03 1403
ESP脱壳定律
脱壳_esp定律原理
02-03 2204
本帖最后由 zf616545 于 2014-10-2 22:14 编辑ESP定律算是我们在脱壳当中最常使用的方法之一,也特别适合像我一样的新手!而今天文章说的是ESP脱壳原理和分析!只有知道原理了,我们的技术才能走得列远! 一.准备知识 在我们开始讨论ESP定律之前,我先给你讲解一下一些简单的汇编知识。 1.call 这个命令是访问子程序的一个汇编基本指令。也许你说,这个我早就知道了!别
利用ESP定律进行脱壳
ChuMeng1999的博客
11-11 932
目录预备知识壳的概念UPXPEiDOllyDbg实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 基础的汇编语言命令以及对汇编程序的基本审计能力。 壳的概念 加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段。加壳过的程序可以直接运行,但是不能查看源代码。要经过脱壳才可以查看源代码。 加壳是利用特殊的算法,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过Windows加载器载入内
Lenus兄弟写的寻找真正的入口(OEP)--广义ESP定律
begin_programe的专栏
09-21 1023
[转贴]Lenus兄弟写的.难得的好文章!!.[转贴]Lenus兄弟写的寻找真正的入口(OEP)--广义ESP定律作者:LenusFROM: poptown.gamewan.com/bbsE-MAIL:meila2003@163.com1.前言    在论坛上看到很多朋友,不知道什么是ESP定律ESP的适用范围是什么,ESP定律原理是什么,如何使用ESP定律?看到了我在“”调查结果
ESP定律脱壳中的应用与修复教程
"ESP定律脱壳方法及使用LoadPE与IR(ImportREC)修复的实践教程" ESP定律脱壳技术中是一种常见的方法,主要用于处理使用了压缩壳或加密壳的可执行程序。ESP定律的核心思想是利用堆栈指针ESP在程序运行过程中的变化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值