UnPackMe_CrypKeySDK5.7——脱壳实验<单步跟踪ESP>

最新推荐文章于 2024-05-21 20:18:03 发布
最新推荐文章于 2024-05-21 20:18:03 发布
阅读量150 收藏 1
点赞数
分类专栏: Reverse 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53928256/article/details/129021303
版权

UnPackMe_CrypKeySDK5.7下载地址 密码:2o6h

1.1 程序结构

image-20221209083114471

根据查出的程序信息得出,程序中99%进行了加壳保护,但是是一种未知的壳

image-20221209083305711

查看区段,发现程序区段的后面加入了三个名称奇怪的区段,应该是由加壳人添加上去的

根据程序的入口地址,可以判断你出程序的入口地址在Have区段

1.2 OD动调

image-20221209083533341

使用OD打开程序后并没有发现例如pushad或者popad的指令,所以似乎不太好使用ESP定律法。

所以先使用单步跟踪法去跟踪ESP

在当前页面中最有可能返回OEP(origin Enter Point)的指令就是jmp dword ptr ds:[0x46B014]

查看地址0x46B014地址存储的值为0x004271B0,该地址为.text区段的值,即代码段;

故这个jmp指令返回的应该是OEP,跟踪后发现,确实返回到OEP处。

image-20221209084342493

1.3 dump

dump,就是转存,也就是抓取内存镜像,就是把内存指定地址的映像文件读取出来,然后用文件等形式保存下来!

通过使用OD自身插件Ollydump,将文件dump出来

image-20221209084616645

image-20221209084903100

image-20221209091212259

ImportREC工具检查不到吾爱破解OD的进程,可能是由于吾爱破解OD是管理员权限执行的程序,可以使用OllyICE替代OD

我们通过使用ImportREC工具检查进程中的输入表,发现输入表并不存在异常,所以我们可以不用对输入表进行修复,同样不需要重构输入表。

修正物理地址和物理大小即可得到可执行的脱壳程序。

1.4 区段处理

这个部分其实不做好像问题也不大,多余的区段不影响程序的运行;

因为多余的段肯定是壳的区段,我们将存储壳代码的区段删除掉;

image-20221209111333734

通过LordPE工具编辑PE程序即可,如上图进行清除区段的操作即可;

C4ndy
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
单步跟踪脱壳.zip
09-12
单步跟踪脱壳单步跟踪脱壳单步跟踪脱壳单步跟踪脱壳单步跟踪脱壳用到的软件、单步跟踪脱壳用到的软件、单步跟踪脱壳用到的软件
esp跟ebp跟踪记录
晚晴小筑
10-23 161
发现文字描述还是太没有快感。上几幅图,来说明这个调试过程更好。此文对于深刻理解ebp,esp是具有长远意义的 可以看到,初始情况下,ebp此时值为0012FEDC,也就是栈帧的地址,而栈顶地址esp值为0012FDFC。可以看到两个值有一定的关系。而帧指针的地址较高。 然后我们让它执行前两句,push ebp,mov ebp,esp 可以看到前两句已经执行了,那么e...
脱壳系列(一) - CrypKeySDK
andiao1218的博客
10-24 206
程序: 运行 用 PEiD 载入程序 PEid 显示找不到相关的壳 脱壳: 用 OD 载入程序 这个是壳的入口地址 因为代码段的入口地址为 00401000 这三个是壳增加的区段 按 F8 往下走程序 经过这个 call 指令的时候,运行的时间多了一会 这个 jmp 将跳转到 004271B0 按 Ctrl+A 分析代码 ...
灵活的执行副本保护和自定义许可策略控件CrypKey SDK
方案专家
04-23 551
CrypKey SDK 为软件开发者提供极为灵活的执行副本保护和自定义许可策略。通过 CrypKey SDK,函数调用被开发者嵌入到被保护程序的源码中。 具体功能: 创建自定义对话框保护程序的特定方面(例如打印功能)而不保护整个程序确定程序的用户体验中需要何种程度的授权包含在Crypkey SDKCrypKey Instant 中的 CrypKey 自有的 CloneBuster
3.VT调试器实现单步跟踪.rar
10-20
3.VT调试器实现单步跟踪.rar
yc.rar_twouca_主蒸汽温度_单步预测_温度预测控制
07-14
预测控制主蒸汽温度实现单步预测matlab代码
GPC.rar_GPC 单步_gpc_广义预测_广义预测控制
09-22
提供了对象已知与未知的广义预测控制(GPC)算法,包含有单步与多部的Diophanine方程求解。
Dasm.rar_Step function_dasm.rar_单步_反汇编_调试器
09-24
自己写的一个调试器模型的源码, 有单步功能和反汇编引擎.
[图解]SysML和EA建模住宅安全系统-05
rolt的专栏
05-18 654
作用就是定义属性之间的数学关系
Nginx - 安全基线配置与操作指南
小工匠
05-19 919
我们这里主要介绍针对Nginx中间件的安全基线配置指南,包括版本选择、用户创建、权限设置、缓冲区配置、日志管理、访问限制、错误页面处理、并发控制、补丁更新等方面。同时还涵盖了如何配置正向代理模块、防止目录遍历以及服务监控等内容,旨在指导系统管理员确保中间件服务器的安全性本文档规定了中间件服务器应当遵循的安全性设置标准,旨在指导系统管理人员或安全检查人员进行中间件的安全合规性检查和配置。
[图解]SysML和EA建模住宅安全系统-07 to be块定义图
rolt的专栏
05-21 667
然后再针对这个画一个块内部图,然后这里再把签名拖上去
HLS视频加密,让您的视频内容更安全
云存储小天使的博客
05-21 425
HLS视频加密是一种基于HTTP Live Streaming(HLS)协议的加密技术。它的核心思想是将视频切片进行加密处理,在客户端播放时需要先获取解密密钥才能正常偶发。通过这种方式,HLS加密可以有效防止未经授权的第三方窃取视频内容,从而保障了视频内容的版权和安全。数据万象媒体处理服务提供了一套HLS视频加密方案,方便用户各个场景的需求。
如何选择一款安全高效的数据自动同步工具?
文件数据安全交换
05-21 173
飞驰云联是中国领先的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。由于大部分的数据都是需要实时的同步到其他节点进行使用和分析的,原有的数据传输方式没有任何的消息通知,也没有日志记录可查询,需要靠人工去各个节点确认,费时费力,效率低下;提供完善的数据同步日志和用户操作日志,便于查询和审计,快速排查错误或遗漏。
深度学习之基于YoloV5的建筑场所安全检测系统
2301_79810943的博客
05-21 254
一、项目背景与目标随着城市化进程的加速,建筑场所的安全问题日益受到关注。为了实现对建筑场所的全面、实时监控,并及时发现潜在的安全隐患,本项目旨在利用深度学习技术,开发一个基于YoloV5算法的建筑场所安全检测系统。二、技术选型与特点YoloV5算法:本项目采用YoloV5作为核心检测算法。YoloV5以其高精度、快速检测速度和强大的多尺度检测能力著称,非常适合用于复杂建筑场所的安全检测。
检测高空作业人员安全绳是否佩戴系统
最新发布
燧机科技的博客
05-21 179
检测高空作业人员安全绳是否佩戴系统基于AI视觉智能分析算法,检测高空作业人员安全绳是否佩戴系统通过现场摄像头对高处作业区域内的人员进行自动检测识别。系统能够快速、准确地检测高空作业人员是否佩戴安全绳。一旦系统检测到人员未佩戴安全绳,会立即进行告警,并将告警信息推送给相关管理者。检测高空作业人员安全绳是否佩戴系统通过实时检测和告警,系统可以及时发现安全隐患,并采取相应措施防范事故的发生。该系统采用视频图像自动识别的形式,不需要新增硬件,实时监控识别,实时告警,简单方便。
Web应用防火墙的重要性
XRY_XIAO的博客
05-20 407
Web应用防火墙的重要性
家用充电桩远程监控安全管理系统解决方案
蓝蜂物联网
05-15 280
本方案旨在通过先进的物联网技术、云计算、大数据分析以及人工智能等科技手段,构建一个集实时监测、异常预警、故障诊断、数据统计、远程控制于一体的智能化平台,确保充电桩的安全运行及用户充电过程的便捷性与安全性。综上所述,家用充电桩远程监控安全管理系统解决方案深度融合物联网、云计算、大数据分析和人工智能等前沿技术,实现了充电桩的精细化、智能化管理,不仅提升了用户充电体验,降低了运维成本,也为能源管理的智能化转型注入了强大动力,具有显著的社会效益和经济效益。家用充电桩远程监控安全管理系统解决方案。
<bochs:6> n 什么意思
06-08
这是 Bochs 调试器中单步执行程序的命令。 具体来说,<bochs:6> 表示当前是在 Bochs 调试器的命令行界面下,6 ...因此,<bochs:6> n 的含义是在当前 CPU 6 上单步执行程序,并停在下一条语句处等待下一条调试命令。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值