脱壳_两次断点法找oep

最新推荐文章于 2022-05-29 17:12:30 发布
最新推荐文章于 2022-05-29 17:12:30 发布
阅读量507 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1841370452/article/details/54849532
版权

两次断点法

调试之前od要设置 选项 调试设置(alt+o)异常 把这些东西全都打上

全都忽略 忽略所有异常

alt+m 或点M找到我们的exe要找到与程序名字相同的段 程序领空

属于程序本身的段 在程序的代码地址下断


在.rsrc 数据输入表 F2断点 然后 再按shift+f9  (Shift+F9 忽略异常运行)

第二次断点 还选M (快捷键alt+m)在原来位置上面  就是PE文件头下sfx 代码上的那行

F2下断 然后shift+f9  断下来之后

我们要用到第二课的知识F8单步  然后呢  底下有个popad  就快到oep

有大跳转 大跳转就是大于十进制的  50   小跳转就是两地址相差  不到 十进制50

「已注销」
关注
脱壳基础篇——常用六操作
摔不死的笨鸟的博客
12-09 887
本文适合入门级别脱壳选手学习,可以作为方总结笔记。目录如下: 1.DUMP方 2.ESP定律的本质 3.二次内存镜像方 4.搜索命令 5.模拟跟踪之SFX 1.DUMP方 在OD中提供两种方式进行脱壳,点击重建输入表。对于一些简单的壳来说,一般都会直接成功。 5.模拟跟踪之SFX 该方缺点是速度有点慢,但是比较省事儿。是使用块方式跟踪,还是字节方式跟踪,要视情况而定。 这里...
ESP二次断点脱壳总结
天道酬勤
03-01 2593
ESP二次断点脱壳总结 一直想学一些逆向破解之类的知识,但是起步比较难,听看雪的某个高手说你可以从免杀方面的知识入手,掌握点基础。 首先感谢姬良写的《杀不死的秘密》这本书,真心不错。 1、ESP 原理:维持堆栈平衡 壳程序运行后,首先运行壳部分,然后将原程序还原到内存中并将控制权返还。而大部分压缩壳在运行壳程序时都会将原程序做一个堆栈保护,壳程序运行完成后将原程序还原到内存时会将
两次内存断点寻找OEP脱UPX壳
zhangmiaoping23的专栏
07-18 1718
逆向过程中通过会遇到脱壳的过程,而脱壳的方式有有多重,如果手工脱壳,需要找到OEP。 所谓“两次内存断点寻找OEP”,按照《加密与解密*第三版》上的解释来说,就是这样的。 一般的外壳会依次对.text、.rdata、.data、.rsrc区块进行解压(解密)处理,所以,可以先在.rdata、.data等区块下内存访问断点,中断后,此时代码已解压,接着再对代码段(.text)下内存访问断点,即
使用二次断点_手工脱壳
weixin_30394333的博客
07-05 290
通常在软件的破解过程中,会遇到代码经过混淆器混淆的程序,此类混淆器可以称之为壳,壳又可分为压缩壳(常见的有UPX、北斗、ASDPack、Npack、PECompact等)和保护壳(如强壳Safengine、VMprotect、winlicense、Themida等),压缩壳作用是把程序进行体积缩小化处理,保护壳主要作用是混淆或加密代码防止他人进行逆向程序、破解程序。我们可以通过一些侦壳程序进行识别...
菜鸟脱壳脱壳的基础知识(五)——利用内存断点寻找OEP
banhanjun1518的博客
07-05 212
经过第一节的基础知识,我们都知道了,加壳程序首先解把原来压缩的代码解压,然后放到所对应的区块中,当外壳程序执行完毕后,跳回到OEP执行,我们都知道,OEP是放在代码段中,也就是当外壳程序处理完毕后,跳回到代码段来执行,那我们是不是可以利用壳的这个特点来进行脱壳呢?答案是肯定的,是可以的!有的时候紧紧在代码段下断是不够的,那怎么办呢?其实很简单,用两次内存断点就可以了,一般的壳会一堆对.t...
脱壳实践之寻找OEP——两次内存断点
weixin_30294021的博客
10-26 274
0x00 前言 对于加壳程序第一件事就是要找到OEP(oringinal Entry point),由于加壳的缘故,当PE文件载入OD或者其他调试软件时进入的的往往是壳程序的入口地址。所以要进行逆向分析第一步就必须找到PE程序的原始入口点。 0x01 壳的加载过程 壳和病毒在某些方面比较类似,都需要比原程序更早获得控制权。壳修改了原程序的的执行文件的组织结构,从而比原程序更早...
脱壳学习记录----EXE找OEP
qq_42192672的博客
09-11 455
参考文献就是加密解密3,算是整合一下自己的学习记录吧,方便以后看 脱壳:程序总有自己的初始入口点(OEP),可以为了保护或者是隐藏性破坏,会给程序加上一层壳,这样当你分析带壳的程序时,访问的入口点就不会是OEP,分析程序的时候可以能出吧外壳里的一大堆混淆或者其余代码段读入,导致无清晰的分析。那么就需要脱壳了,显然第一步就是要找到OEP 我们先自己给程序加个壳 初始程序链接:https://...
利用单次追踪进行脱壳
ChuMeng1999的博客
11-11 591
目录预备知识壳的概念UpxPEiDOllyDbg实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 基础的汇编语言命令以及对汇编程序的基本审计能力。 壳的概念 加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段。加壳过的程序可以直接运行,但是不能查看源代码。要经过脱壳才可以查看源代码。 加壳是利用特殊的算,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过Windows加载器载入内
二进制脱壳
10-06
两次断点 这种方涉及在调试设置中启用所有异常,然后在程序的关键位置设置断点。具体步骤如下: - 在程序的资源段(`.rsrc`)下断点。 - 执行`Shift+F9`继续运行,直到遇到异常。 - 再次执行`Shift+F9`,并在...
第32章-OEP寻踪1
08-03
例如,在CRACKME UPX的例子中,通过多次CTRL+L来查找,最终找到正确的JMP指令,设置断点后,可以单步调试到OEP。 此外,还可以尝试搜索其他与OEP相关的指令,如CALL EAX、CALL EBX或JMP EAX等,这些指令可能会利用...
两次内存断点寻找OEP
weixin_34138255的博客
06-16 200
所谓“两次内存断点寻找OEP”,按照《加密与解密*第三版》上的解释来说,就是这样的。一般的外壳会依次对.text、.rdata、.data、.rsrc区块进行解压(解密)处理,所以,可以先在.rdata、.data等区块下内存访问断点,中断后,此时代码已解压,接着再对代码段(.text)下内存访问断点,即可到达OEP。...
脱壳汇总
weixin_34217711的博客
05-19 565
一、脱壳基础知识  1、脱壳的概念  在第三章中讲了加壳的概念,与加壳技术相对的就是脱壳技术了。脱壳就是将已经加壳的程序从壳中剥离出来。既然能给程序进行加壳,那也会有相应的脱壳。尽管理在有些壳很难脱掉,但是脱壳技术也在不断的进步,而且在不断竞争中发展状大。  2、OEP  OPE的意思就像它的名字一样容易理解。OEP就是原程序的入口点,也就是真正的入口点。  当被加壳的程序运行后,首先运行的是...
脱壳笔记-寻找OEP总结
走在成长的路上
01-03 7505
详解手动跟踪、ESP定律方式、内存二次断点的原理与使用
脱壳基础教程
Aquarius_ego的博客
05-29 7369
软件脱壳相关介绍
OD脱壳八大
老北京砸酱锤的博客
06-22 3985
一、esp定律 进入程序,第行为pushad 单步步过(F8)一下,查看寄存器,当8个寄存器只有esp为红色时,右击红色地址,选择数据窗口中跟随。在左下角的窗口中可以看到,自动跟随到红色地址。 选中若干数据,右击选择断点-硬件访问-(byte,word,dword 任意选择)注:只是访问的字节数不同。 运行(F9)到达断点处,单步步过(F8)几下, 进入到不是不认识的代码地方 ,右键点击分析-从模块中删除分析。 在当前窗口右键选择dollydump脱壳调试进程,分别脱壳两次,不同之处是重建输入表
破解之寻找OEP[手动脱壳](2)
weixin_34159110的博客
07-25 178
1、使用ESP定律 OD载入后,F8一次,在寄存器窗口的ESP的内容上(如0012FFA4)右键:“在数据窗口中跟随”,到内存数据窗口,将内存数据窗口以HEX 数据形式显示,在刚才的地址起始位置上(如0012FFA4)上右键:“断点”->“硬件访问”->“字”,F9直接运行,再F8一次或二 次,一般会到push ebp这句代码,这句代码所在的地址,就是OEP。   2、二次断点...
寻找OEP
吖吖狼 的专栏
03-26 8425
1、使用ESP定律 OD载入后,F8一次,在寄存器窗口的ESP的内容上(如0012FFA4)右键:“在数据窗口中跟随”,到内存数据窗口,将内存数据窗口以HEX数据形式显示,在刚才的地址起始位置上(如0012FFA4)上右键:“断点”->“硬件访问”->“字”,F9直接运行,再F8一次或二次,一般会到push ebp这句代码,这句代码所在的地址,就是OEP。   2、二次断点 OD载入后,
Ollydbg手动脱壳得几点小结
vbsourcecode的专栏
11-02 3617
手动脱壳 Ollydbg手动脱壳得几点小结:           一般认为手动脱壳的关键是找到软件的真正入口OEP,但是用ollydbg脱壳知道软件的真正入口OEP并不能解决问题,因为ollydbg的工作原理和softice、trw2000等的有所不同,在OEP未解压以前是不能在OEP设断上的,因此用ollydbg脱壳的关键是让程序中断在OEP,一旦中断在OEP脱壳就告完成。
OD破解软件找断点系列【2】----万能断点(XP系统)
zhangmiaoping23的专栏
11-11 5928
【文章标题】: OD破解软件找断点系列【2】----万能断点(XP系统) 【文章作者】: HPKEr 【软件名称】: MP3转换器 V5.2.0 【软件大小】: 3.20 MB 【下载地址】: http://xz.qupan.com/down/945520_5679070.html 【编写语言】: Microsoft Visual Basic 5.0 / 6.0 【使用工具】
UnPackMe_ReCrypt v0.80脱壳分析:OEP定位与线程挂起
"本章继续探讨ReCrypt v0.80的脱壳过程,涉及到的工具包括OllyGhost(替代方案为OllyDbg)、OllyDump、LordPE、Estricnina_v0.12和POKEMON_AntiAttach。在分析UnPackMe_ReCrypt0.80.exe前,先通过LordPE检查PE信息,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值