ESP脱壳定律

最新推荐文章于 2023-07-07 09:49:44 发布
最新推荐文章于 2023-07-07 09:49:44 发布
阅读量1.2k 收藏 5
点赞数 2
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41741971/article/details/125579826
版权

ESP脱壳定律

原理:在加了壳的软件下,程序刚开始加载的时候,最先开始就是执行解密程序,而ESP栈顶指针会伴随解密程序执行完后,要跳到真正的程序时,就会有一个大幅度的跳转,会弹回原来的指针地址,也就是ESP指针归位,根据这个特性,只要跟踪到ESP指针归位的那一刻,就说明已经找到了程序的入口点(EP点),也俗称为“ESP脱壳定律”

1. 首先运行到只有ESP指针入栈开始的时候

 

2. 然后在ESP地址上右键->数据窗口跟随->查看左下角的数据窗口

 

3. 然后再数据窗口中下硬件访问断点

 

4. 然后一直F8运行到一段看似空白汇编代码处(说明要有一个大的跳转),然后右键分析->从模块中删除分析,然后就会跳到入口点(EP点)

 

5. 然后删除掉所有断点,使用ollydbg插件开始脱壳

下面介绍两种脱壳的方式:

1、 右键选择“使用OllyDump脱壳调试检测”-》勾选重建输入表(方式1、方式2)-》点击脱壳

2、右键选择“使用OllyDump脱壳调试检测”-》取消勾选重建输入表-》点击脱壳

 

 

冒险岛_0_
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
16种可用ESP定律脱的壳
01-29
详尽介绍了可以用ESP定律手动脱壳,我学习后受益匪浅。
脱壳(一) —— ESP定律
weixin_44122225的博客
11-20 2174
1.PUSHAD (压栈) 代表程序的入口点, 2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近 3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP/FOEP),只要我们找到程序真正的OEP,就可以立刻脱壳。 一、ESP定理脱壳 (通过下ESP硬件访问断点找到OEP) 1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突现变成红色。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) 2.选中ESP,进行数据访问
脱壳(中) 脱壳的方法
蜂刺
11-03 2870
那些年我们一起脱过的衣裳-脱壳(中) 珈蓝夜宇 · 2015/10/29 10:42 0x01 我能在万花从中脱去壳的衣裳!(续) 3.3ESP定律法 3.3.1ESP定律介绍 ESP定律法是脱壳的利器,是国外友人发现的。有了ESP定律,可以方便我们脱掉大多数的压缩壳。可谓是本世纪破解界中最伟大的发现之一。这里只简单的看一下狭义ESP定律的原理。 当我们用O
利用ESP定律法手动脱upx壳
2201_75522173的博客
07-07 338
ESP定律法是脱壳的利器,是应用频率最高的脱壳方法之一.
ESP定律
weixin_33704234的博客
06-01 88
dlytgaowen 的 ESP定律 一、ESP定律 EQ:何为ESP定律;为什么我们在脱壳的时候在程序载入OD后F8单步对寄存器ESP值地址下硬件断点后会来到壳跳向程序OEP的地方? AS:ESP定律就是“堆栈平衡”原理也就是壳入栈和出栈的地址为对应 我们来看下面的图: ――――――――――――――――――――――――――――――――――――――― 程序载入OD时CPU主线程...
ESP定律脱壳(吾爱复现)
weixin_49764009的博客
12-21 2364
ESP定律法简介 ESP定理脱壳ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了!) 1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突变成红色。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) 2.在命令行下:dd XXXXXXXX(指在当前代码中的ESP地址,或者是hr XXXXXXXX),按回车! 3.选中下断的地址,断点—>硬件访—>WORD断点。 4.按一下F9运行程序,直接来到了跳转处,按下F8,到达程
ESP定律的原理及其适用范围
D_R_L_T的博客
07-07 2648
一、准备知识 在我们开始讨论ESP定律之前,我先给你讲解一下一些简单的汇编知识。1.call这个命令是访问子程序的一个汇编基本指令。也许你说,这个我早就知道了!别急请继续看完。call真正的意义是什么呢?我们可以这样来理解:1.向堆栈中压入下一行程序的地址;2.JMP到call的子程序地址处。例如:00401029.E8 DA240A00 call 004A35080040102E.5A ...
逆向crackme之ESp定律脱壳
qq_58970968的博客
06-19 725
1 前言此题来自攻防世界高手进阶区的一道逆向题目 crackme,通过对可执行程序进行脱壳,该壳为北斗的壳,涉及到ESP定律,大体流程是找到call处的ESp,在数据窗口中跟随,下个硬件访问断点,就到了OEP处,用ODdump脱壳就行了。脱壳完成之后使用IDA打开查看main函数里面的伪代码写脚本,最后得到flag,这里面涉及到三个常用逆向工具的使用,exeinfope,onllydbg ida;2 工具介绍OllyDugOLLYDBG是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring
ESP定律脱壳详解
juce的专栏
03-29 5166
在我们开始讨论ESP定律之前,我先给你讲解一下一些简单的汇编知识。    1.call    这个命令是访问子程序的一个汇编基本指令。也许你说,这个我早就知道了!别急请继续看完。    call真正的意义是什么呢?我们可以这样来理解:1.向堆栈中压入下一行程序的地址;2.JMP到call的子程序地址处。例如: 00401029 .   E8 DA240A00 call 004A3508
破解入门(五)-----实战"ESP定律法"脱壳
系统运维
06-10 600
ESP定律法的步骤 ESP定理脱壳ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了!) (1)开始就点F8,注意观察OD右上角的寄存器中ESP有没突现(变成红色)(这只是一 般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) (2)在命令行下:ddXXXXXXXX(指在当前代码中的ESP地址,或者是hrXXXXXXXX), ...
详细介绍了脱壳常用的esp定律
10-03
详细介绍了脱壳常用的esp定律
第二课_ESP定律详解&LordPE脱壳
07-15
第二课_ESP定律详解&LordPE脱壳,入门指导
ESP定律.rar
03-15
ESP定律给加密的程序脱壳的资料。反汇编和加密解密。
第三课_ESP定律脱壳&简单爆破
07-15
第三课_ESP定律脱壳&简单爆破 入门转高手课程系列
OD动调之脱壳:使用ESP定律寻找
09-03
mazeupx 测试程序
通信电源蓄电池组容量性充放电试验三措一案.docx
04-27
5G通信行业、网络优化、通信工程建设资料。
铁塔维护检测手段.docx
04-27
5G通信行业、网络优化、通信工程建设资料
通信设备安装施工组织方案.doc
04-27
5G通信、网络优化与通信建设
299-教育行业信息化与数据平台建设分享.pptx
最新发布
04-27
299-教育行业信息化与数据平台建设分享.pptx
简述ESP定律脱壳中的应用。
06-10
脱壳中,我们可以利用ESP定律来定位加壳程序的OEP(Original Entry Point),即程序的入口点。 具体来说,我们可以通过在加壳程序中设置断点,然后在断点处查看ESP的值,找到调用加壳壳之前的ESP的值,从而推断出...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

冒险岛_0_

您的打赏是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值