UPX快速定位OEP

最新推荐文章于 2022-04-20 21:53:33 发布
最新推荐文章于 2022-04-20 21:53:33 发布
阅读量351 收藏
点赞数
分类专栏: 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/114368024
版权

两种技巧

都是基于PUSHAD/POPAD的指令特点.
朴素跟踪一遍解压缩过程, 可以发现EP代码都是在PUSHAD/POPAD指令之间, 所以解压完之后跳转到OEP的这一短暂过程就发生在POPAD和JMP指令之间. 基本思想就是断点到POPAD之后.

在POPAD指令之后的JMP指令处下断点, 执行就完成了解压过程, 再跟进就是OEP
在这里插入图片描述
可能会有多个POPAD指令, 一条条找下来发现其后接JMP的那一条大概率就是
在这里插入图片描述跟进之后验证知道OEP是0100739D.


在PUSHAD命令后查看栈, 可以看到8个寄存器的值被保存于栈中(dump窗口), 准确到保存ESP值的地址处, 右键设置Breakpoint -> Hardware, on access -> byte, 运行到断下的位置, 其下就是JMP到OEP的指令. 跟进就是OEP.
在这里插入图片描述程序一开始刚执行完PUSHAD后, 搜索ESP的地址, 查看栈
在这里插入图片描述

在这里插入图片描述
ctrl + G goto 000DFF54 (即ESP的值作为栈地址
从下往上依次是EAX, ECX, EDX, EBX, ESP, EBP, ESI, EDI
下硬件断点, 对着000DFF54第一个字节处
在这里插入图片描述
F9运行, 会在栈碰到硬件断点时停下, 正好执行完POPAD
在这里插入图片描述下面的JMP就是OEP的跳转指令了.

我直接好家伙

fa1c4
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【脱壳-寻找OEP】通过内存定位OEP实现脱壳
这个人很懒什么都没有留下
10-19 457
注意:不需要去断加壳程序原本的代码断,因为他本身的代码断是做解密 还原 写入的,没必要在他本身做断点。这次用的也是UPX的壳,载入特殊od后可以看到upx的壳是在我们原始oep的代码外面,UPX0里面才包含我们的原始入口点,UPX1是不包含的,UPX1这块就对 解密 还原 写入这三个步骤进行操作,然后写入到UPX0这个输入表中,也就是我们真实的OEP入口代码地址。设置完后F9运行,可以发现他断在了我们的入口点处,代码已经解密完成了,加壳程序已经还原了他的代码,这也是还原后执行的第一行代码段被我们断了下来。
快速查找UPXOEP的方法(一)
蜂刺
10-27 996
方法一UPX的压缩器的特征之一是,其EP代码被包含在PUSHAD和POPAD之间,并且跳转到OEP的JMP指令会紧接着出现在PUSHAD指令之后,我们只需要找到符合以下两点条件的JMP指令并设置断点就可以顺利找到OEP: 条件一:这条JMP指令上方几条指令内有PUSHAD 条件二:这条JMP指令跳转到主程序空间内,且跟随后第一条指令是push XXX 方法二方法二也利用了PUSHAD \P
手脱压缩壳UPX的4种查OEP方法
黑KING的博客
07-31 702
目录 先使用PEid进行查壳,可以看出壳的详细信息 方法一 单步跟踪 方法二 ESP定律法 方法三 两次内存镜像法 方法四 一步直到法 先使用PEid进行查壳,可以看出壳的详细信息 方法一 单步跟踪 打开软件,发现pushad指令,如果未发现,在软件中运行一下,就会到pushad,然后一直进行向下单步操作 发现有向上循环,在其循环的下一行,右键断点,F4在此行...
OEP和ESP定理
java开发指南博客 【转载】
04-07 212
OEP   OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP), 只要我们找到程序真正的OEP,就可以立刻脱壳。 PUSHAD (压栈) 代表程序的入口点   POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个OEP就在附近拉    常见寻找OEP脱壳的方法 方法一: 1.用OD载入,不分析代码! 2.单步向下跟踪F8...
【逆向分析】查找程序入口点
qq_45972928的博客
04-20 2963
工具:OllyDBG 链接:https://pan.baidu.com/s/1ApV8xzmlI00TeokUF6cmZw?pwd=6ilp 提取码:6ilp 1、尾部跳转法 跳转指令位于代码的尾部且跳转到一个很远的位置 而且在这条指令的后面,会存在着非常多的0x00字节,也就是一大堆无意义的代码 进行跳转即可发现程序入口点 2、OD的插件法 点击:插件->OllyDump->Find OEP by setting Nop(Trace over) 会自动寻找入口点 3、利用p.
加壳工具 StarrySky UPX UnPacker
最新发布
03-18
【标题】"加壳工具 StarrySky UPX UnPacker"是专为处理UPX壳的软件,旨在帮助用户对使用UPX压缩的程序进行脱壳操作。UPX(Ultimate Packer for eXecutables)是一款广泛使用的开源文件打包工具,它可以将可执行文件...
UPX加壳器
08-21
UPX加壳器系统结构:UPX加壳器======窗口程序集1||||------_按钮1_被单击||||------__启动窗口_创建完毕||||------_拖放对象1_得到文件||||------__启动窗口_将被销毁||||------_按钮2_被单击||||------_选择
free upx.7z
10-11
此程序为中文版本。 Free UPXUPX的外壳程序,UPX(the Ultimate Packer for ...Free UPX功能介绍 1、让正规文件被保护起来,不容易被修改和破解。 2、使文件压缩变小。 3、保护杀毒软件安装程序,使之不受病毒侵
upx脱壳机
10-03
UPX(Ultimate Packer for eXecutables)是一款著名的可执行文件打包工具,它能够将程序压缩,从而减小文件大小,提高程序的分发效率。在网络安全领域,UPX也被用作一种壳(shellcode)来保护程序代码不被轻易分析或...
OneKey UPX.zip
08-18
"OneKey UPX.zip" 是一个包含批处理程序的压缩包,其目的是简化使用UPX的过程,让用户能够快速便捷地对目标程序进行UPX压缩。批处理是一种基于DOS或Windows操作系统中的命令行脚本,可以自动执行一系列命令,极大地...
OEP大全,快速查看不同编译语言编写的程序的OEP特征工具
01-16
快速查看不同编译语言编写的程序的OEP特征工具,就像字典一样,需要哪个查哪个。点击编译语言按钮,就会出来相应的OEP特征
常见寻找OEP的方法
03-25
现在很多软件都加入了壳 希望这个能帮助新手更容易的找到壳的入口
脱壳笔记-寻找OEP方法总结
走在成长的路上
01-03 7387
详解手动跟踪法、ESP定律方式、内存二次断点法的原理与使用
脱壳 OEP 程序的入口点
比尔丁子
03-02 3565
OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP), 只要我们找到程序真正的OEP,就可以立刻脱壳。 PUSHAD (压栈) 代表程序的入口点        POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个OEP就在附近拉。 常见寻找OEP脱壳的方法  方法一:  1.用OD载入,不分析代码!  2.单步向下跟踪F8,是
寻找OEP的几种常用方法
/0
08-15 2597
寻找OEP的几种常用方法
两次内存断点法寻找OEPUPX
zhangmiaoping23的专栏
07-18 1701
逆向过程中通过会遇到脱壳的过程,而脱壳的方式有有多重,如果手工脱壳,需要找到OEP。 所谓“两次内存断点法寻找OEP”,按照《加密与解密*第三版》上的解释来说,就是这样的。 一般的外壳会依次对.text、.rdata、.data、.rsrc区块进行解压(解密)处理,所以,可以先在.rdata、.data等区块下内存访问断点,中断后,此时代码已解压,接着再对代码段(.text)下内存访问断点,即
常见程序入口点(OEP)特征
云淡风轻
09-11 5802
Borland Delphi 6.0 - 7.0 00509CB0 > $ 55 PUSH EBP 00509CB1 . 8BEC MOV EBP,ESP 00509CB3 . 83C4 EC ADD ESP,-14 00509CB6 . 53 PUSH EBX
逆向总结(2)--OEP特征码总结
oBuYiSeng的博客
12-28 2175
常见的OEP特征码(??代码代表一个字节,取值为任意) VS2012、VS2013 Release OEP的特征 E8????????E9????????3B0D VS2012、VS2013 Release 第一个CALL内的特征 含有4个call 3145FC8D45EC50FF15????????8B4DF0 Delphi7 OEP特征 含有5个call,5个ca
手脱UPX壳的几种方法
热门推荐
xiaoyuai1234的博客
05-20 1万+
最近在研究各个壳的脱壳方法,有些心得,和大家分享一下如何手脱UPX的壳 我们的流程是 PEID查壳 得知壳的形式为 UPX 0.89.6 - 1.02/ 1.05 - 2.90 -> Markus & Laszlo OD载入,提示为“压缩代码是否继续分析”,我们选择否 方法一:单步跟踪法 程序停在如下图的地方 F8单步向下运行,注意向上的跳转 遇到向上的箭头我们就在下一行
第32章-OEP寻踪1
08-03
理解并熟练掌握OEP定位方法对于反病毒、漏洞分析和软件逆向工程等领域至关重要。在实际操作中,可能还需要结合其他技术,如静态分析、动态监控和调试,才能确保准确地找到并处理OEP,以便进行后续的脱壳和程序分析...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值