【脱壳】通过SFX功能定位OEP脱壳

于 2022-10-19 21:19:28 发布
阅读量331 收藏
点赞数
分类专栏: 脱壳入门 文章标签: 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45007567/article/details/127415845
版权

本次使用UPX加壳来进行学习。
在这里插入图片描述
通过将加壳文件导入调试器后通过调试器的配置设置,使用他的SFX自动载入到程序的入口点也就是OEP的位置。

配置完成后记得忽略异常否则会一直卡着断点。
在这里插入图片描述

重新载入一次软件后他会寻找oep,找到oep入口点后会自动暂停软件。
可以看到停到了0040100处因为这就是我们的入口点。
在这里插入图片描述

SFX使用的条件如下:
程序入口点必须包含在代码段,如果入口点没有在代码段是无法识别的。
在这里插入图片描述

JAVA百练成神
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
脱壳-寻找OEP】通过内存定位OEP实现脱壳
这个人很懒什么都没有留下
10-19 460
注意:不需要去断加壳程序原本的代码断,因为他本身的代码断是做解密 还原 写入的,没必要在他本身做断点。这次用的也是UPX的壳,载入特殊od后可以看到upx的壳是在我们原始oep的代码外面,UPX0里面才包含我们的原始入口点,UPX1是不包含的,UPX1这块就对 解密 还原 写入这三个步骤进行操作,然后写入到UPX0这个输入表中,也就是我们真实的OEP入口代码地址。设置完后F9运行,可以发现他断在了我们的入口点处,代码已经解密完成了,加壳程序已经还原了他的代码,这也是还原后执行的第一行代码段被我们断了下来。
KGB SFX 脱壳
记录点滴
05-03 839
有个文件,File Info 显示 KGB SFX,KGB 是一个像winrar那样的压缩软件。 sourceforge.net/projects/kgbarchiver/ 下载安装后,不能把目标文件解压。 想到以前看到的教程, 压缩壳 都可以用 ESP 定律脱壳。 1、od载入,到EP,F8 一次 2、在数据窗口 转到ESP的地址 3、在ESP地址下 硬件访问 Word 断点
有关OEP脱壳
weixin_33970449的博客
08-06 122
首先补充: OEP:(Original Entry Point),程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP), 只要我们找到程序真正的OEP,就可以立刻脱壳。 PUSHAD (压栈) 代表程序的入口点 POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个OEP就在附近啦 OEP脱壳方法: 方法一: 1.用OD载入,不分析代码! 2.单...
OEP,常见OEP脱壳的方法
weixin_34342578的博客
06-01 191
OEP OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP), 只要我们找到程序真正的OEP,就可以立刻脱壳。 PUSHAD (压栈) 代表程序的入口点 POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近拉 常见寻找OEP脱壳的方法 方法一: 1.用OD载入,不分析代码! 2.单步向下跟踪F8,是向下跳的让它实现 3.遇到程序往回跳的...
一步到达OEP脱壳
小龙在线
09-12 503
OllyDbg载入Notepad.exe 直接按Ctrl+F搜索popad 我们需要找的popad需要满足,是在程序最后返回时,壳程序希望恢复现场环境的地方 也就是靠近jmp,或retn的地方 直接搜索popad,显示出的几个结果,都不太符合标准 我们按Ctrl+L,查看下一个搜索目标。 在0040D3AF位置处我们发现这样一个popad 离跳转和retn很接近,我们变可以尝试这个popad,按F4运行到此处,继续F8单步向下 在retn后返回到OEP,使用Ollydump脱壳即可 但是你要注意,这个方法
几种常用脱壳方法讲解
11-28
几种常用脱壳方法讲解 作者:★闯☆≈荡≈ ------赠送好友"随风£煦雨ぃ" QQ:512642907 文件大小:解压后51MB 源文件... 第三种:SFX自动脱壳法 第四种:EBP跟踪法 第五种:直接找出口断点法 第六种:内存镜像断点法
Crack破解必学+脱壳
09-15
08、手脱Yoda's Crypter以及SFX法 09、手脱Telock 10、手脱PETITE和FSG 2.0 11、ESP定律与内存断点详解 12、附加数据的处理方法 13、程序自校验的解除方法 14、手脱EncryptPE壳以及附加数据的处理 15、手脱Armadillo...
用OD脱壳的基本方法
12-23
- 忽略所有异常,寻找SFX(自解压)标志,这有助于定位程序的实际入口点。 以上方法是脱壳过程中的基础技术,但需要注意的是,不同的壳可能需要不同的处理策略,且随着反逆向技术的发展,更复杂的壳可能会需要更...
SCRT&SFX--V9.0
09-07
有流行CRTTelnet客户机的所有特点,包括:自动注册、对不同主机保持不同的特性、打印功能、颜色设置、可变屏幕尺寸、用户定义的键位图和优良的VT100,VT102,VT220和ANSI竞争.能从命令行中运行或从浏览器中运行.其它特点...
SCRT+SFX-V9.0 离线安装包
09-07
有流行CRTTelnet客户机的所有特点,包括:自动注册、对不同主机保持不同的特性、打印功能、颜色设置、可变屏幕尺寸、用户定义的键位图和优良的VT100,VT102,VT220和ANSI竞争.能从命令行中运行或从浏览器中运行.其它特点...
七种OD查找oep的方法
07-15
七种OD查找oep的方法 单步跟踪法 ESP定律法 内存镜像法 一步到达OEP 最后一次异常法 模拟跟踪法 “SFX”法
寻找OEP
吖吖狼 的专栏
03-26 8412
1、使用ESP定律 OD载入后,F8一次,在寄存器窗口的ESP的内容上(如0012FFA4)右键:“在数据窗口中跟随”,到内存数据窗口,将内存数据窗口以HEX数据形式显示,在刚才的地址起始位置上(如0012FFA4)上右键:“断点”->“硬件访问”->“字”,F9直接运行,再F8一次或二次,一般会到push ebp这句代码,这句代码所在的地址,就是OEP。   2、二次断点法 OD载入后,
脱壳学习记录----EXE找OEP
qq_42192672的博客
09-11 424
参考文献就是加密解密3,算是整合一下自己的学习记录吧,方便以后看 脱壳:程序总有自己的初始入口点(OEP),可以为了保护或者是隐藏性破坏,会给程序加上一层壳,这样当你分析带壳的程序时,访问的入口点就不会是OEP,分析程序的时候可以能出吧外壳里的一大堆混淆或者其余代码段读入,导致无法清晰的分析。那么就需要脱壳了,显然第一步就是要找到OEP 我们先自己给程序加个壳 初始程序链接:https://...
脱壳总结
cbxxue的专栏
08-23 395
.壳(Pack)也称为“保护器”或“打包器”,是一种可以将目标应用程序加密,并且在使用时无需手动解密的一种版权保护工具 .壳的诞生得益于感染型病毒的出现,事实上,壳与感染型病毒的工作原理几近相同,都是一种可以将自己的“寄生体”“感染”到“宿主”身上的一种技术。 .在软件安全领域中,壳是技术密集度最高的安全技术之一。 .总体而言,比较通用的脱壳技巧有以下几种:
脱壳基础篇
hercs的博客
03-05 536
1.ESP定律od打开程序,单步,当观察到右边寄存器窗口中仅有ESP变红时(一般是push或者pushad指令执行时),鼠标放在ESP后面的地址上,右键,点击HW break[ESP].然后f9运行,中断后单步,当有一处较大跳转时,则对应入口点。原理:脱壳过程中要保持堆栈平衡。2.两次内存镜像法od打开程序后,alt-m打开内存窗口,在资源段(.rsrc)右键,设置内存访问断点,f9运行,中断后,...
脱壳的基本步骤
行走在黑暗中的狙击者
09-01 2691
脱壳的基本步骤 1.查壳(ExeinfoPe(推荐)、PEID)---> 2.寻找OEP(OD)--->(寻找过程中如出现代码异常需要先右击分析-->从模块中删除分析) 3.脱壳--->用OD自带的Ollydump直接脱壳,但因此功能比较老bug较多,脱完可能会出现软件无法打开、内存无法读取,无法定位dll等错误,所以一律推荐在XP下运行OD查找到OEP后,使用Lo...
逆向分析脱壳技巧总结
关注互联网安全的小虾米一枚
07-26 2496
一.脱壳基础知识要点 1.PUSHAD :(压栈) 代表程序的入口点 2.POPAD :(出栈) 代表程序的出口点,与PUSHAD想对应.看到这个,就说明快到OEP了. 3.OEP:程序的入口点,软件加壳就是隐藏OEP.而我们脱壳就是为了找OEP. --------------------------------------- 二.脱壳调试过程中辨认快到OEP的方法 下
逆向工具基础学习(一)
kinginone的博客
05-16 556
简单脱壳原理(借鉴学习吧) 在这里,给大家分享一下关于一些基础知识的运用。 有些时候,忍不住在想很多东西,明明是一些很基础的东西,却要藏起来收费学习,在进去之后发现根本没有什么很大的价值。其实就是一些基础,让大家入个门,也不是什么高深的东西,所以,在这里给大家分享一下,虽然借鉴了很多东西,但也有自己的感悟和想法,希望对想入门学习的有所帮助。 下面是一些过程介绍: 1.通过PEID软件查询有没有加壳。 这里说一下,如果说没有加壳,在工具字段显示的就是具体使用语言,这里是ASPack 2.12加了壳。 2.通
脱壳基础教程
Aquarius_ego的博客
05-29 6847
软件脱壳相关介绍
ACProtect V1.09脱壳:定位OEP与绕过硬件检测
定位OEP通常有多种方法,如利用OD(OllyDbg)内置的追踪功能,通过Debugging options中的SFX选项设置跟踪,尽管在某些情况下,这可能会被壳干扰。定位到的OEP可能是真实的,但也可能被stolen bytes(被盗取并插入的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值