两种技巧
都是基于PUSHAD/POPAD的指令特点.
朴素跟踪一遍解压缩过程, 可以发现EP代码都是在PUSHAD/POPAD指令之间, 所以解压完之后跳转到OEP的这一短暂过程就发生在POPAD和JMP指令之间. 基本思想就是断点到POPAD之后.
一
在POPAD指令之后的JMP指令处下断点, 执行就完成了解压过程, 再跟进就是OEP
可能会有多个POPAD指令, 一条条找下来发现其后接JMP的那一条大概率就是
跟进之后验证知道OEP是0100739D.
二
在PUSHAD命令后查看栈, 可以看到8个寄存器的值被保存于栈中(dump窗口), 准确到保存ESP值的地址处, 右键设置Breakpoint -> Hardware, on access -> byte, 运行到断下的位置, 其下就是JMP到OEP的指令. 跟进就是OEP.
程序一开始刚执行完PUSHAD后, 搜索ESP的地址, 查看栈
ctrl + G goto 000DFF54 (即ESP的值作为栈地址
从下往上依次是EAX, ECX, EDX, EBX, ESP, EBP, ESI, EDI
下硬件断点, 对着000DFF54第一个字节处
F9运行, 会在栈碰到硬件断点时停下, 正好执行完POPAD
下面的JMP就是OEP的跳转指令了.
我直接好家伙