寻找OEP

最新推荐文章于 2020-05-20 14:39:11 发布
最新推荐文章于 2020-05-20 14:39:11 发布
阅读量1.2k 收藏
点赞数
分类专栏: 练手
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ruins44/article/details/51491584
版权

对于加了壳的软件,要寻找其OEP(Origin entry pointer)入口点的时候,该如何去寻找

1.根据跨段指令去寻找OEP

绝大多数加壳程序在被加密的程序中加上一个或多个区块,这个可以使用PEID软件去查看相应的区段(section)。

这个方法的思路是:一般是跟踪软件,一直跟踪,然后看起跨段指令,最后得出OEP。

加壳程序的入口点代码如下。

一直跟踪就能跟出外壳程序,外壳程序以push 0x401130 retn这两句来结尾,等价于jmp 0x401130,跳转程序的真正入口点。

2.用内存访问断点找OEP

思路:就是外壳首先将原来压缩的代码解压,并放在对应的区块上,处理完后将跳到代码段上运行。就是对代码设置两次内存访问断点,第一次设置之后,当解压函数将各个区块解压完成之后,并放到相应地内存地址处后,再对代码段设置断点,因为解压完之后要跳转到代码段中执行,所以当跳转中,对代码段设断点就会被暂停,就能找到相应地入口点。

3.根据堆栈平衡原理找OEP

编写加壳软件时,必须保证外壳初始化的现场环境(各寄存器值)与原程序的现场环境是相同的。加壳程序在初始化时保存了各寄存器的值,当外壳执行完毕之后,在恢复各寄存器内容,最后再跳到原程序执行。通常使用pushad/popad、pushfd/popfd指令对来保存于恢复现场环境。

所以外壳程序开始时的esp值与加壳后的esp值是完全一模一样的。

使用可以对相应的寄存器值设置硬件访问断点,hr +address

这种方法很快就可以找到相应的OEP

4.根据编译语言特点找OEP

常见语言的人口代码,对相应的函数设置断点,两次之后,就能很容易找到OEP。


ruins44
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【脱壳-寻找OEP】壳常用的函数寻找OEP
这个人很懒什么都没有留下
10-20 302
我们这次用GetProcAddres来测试,载入我们的测试文件然后Cttrl+G输入GetProcAddress获取函数的地址下断点,但是下的是条件断点,只针对函数加载进行记录而不是进行下断。但是这里的数据有几千行不知道哪一行是我们要定位的数据,我们在他的代码段设置访问断点然后一直按住F9往下运行一直到他被断下来为止。这次我们用的是特殊OD。之后一直F9停下来的就会出现代码段,这就是我们的OEP了,但是这个方法不太好用不建议使用。设置esp的记录为记录值,因为esp的栈顶数据读入的第一条肯定是他。
VMP3.5 脱壳--查找OEP
热门推荐
被遗弃的庸才博客
01-19 1万+
背景 无 VMP的介绍 相信看到这篇文章的人都听过或了解过vmp,基本遇到vmp加壳的程序基本就是右键回收站,但是如果只是简单的加了一层vmp壳的话,还是可以分析的。 vmp加壳方式 下面是程序代码 int main() { printf("222222222\n"); system("pause"); return 0; } 然后把随机基地址关一下,方便之后查找main函数 这里说明一下,目前大部分人加壳都会虚拟化代码段,这样的话基本上就需要右键回收站了,主要是核心代码被vm
脱壳笔记-寻找OEP方法总结
走在成长的路上
01-03 7387
详解手动跟踪法、ESP定律方式、内存二次断点法的原理与使用
寻找OEP的几种常用方法
/0
08-15 2597
寻找OEP的几种常用方法
常见寻找OEP的方法
03-25
现在很多软件都加入了壳 希望这个能帮助新手更容易的找到壳的入口
第42章-ACProtect V1.09脱壳(寻找OEP,绕过硬件断点的检测,修复Stolen code)1
最新发布
08-03
我们可以利用OD的Debugging options-SFX功能,选择Trace real entry blockwise(inaccurate)来尝试找到OEP。不过,有时OEP可能被"stolen bytes"所影响,这是壳层用来混淆真实入口点的一种技术。 要找到stolen bytes...
ACProtect对OEP的处理
07-10
逆向工程师通常会寻找这个点来分析程序的执行流程。然而,加壳技术通过改变OEP的位置和添加额外的保护层,使得这个过程变得更加复杂。 ACProtect的加壳机制是基于动态地址计算的,它不直接硬编码OEP到壳代码中,...
寻找真正的入口(OEP)--广义ESP定律
05-07
寻找真正的入口(OEP)--广义ESP定律
显示.exe文件的OEP
04-30
6. **静态分析**:对于更复杂的文件,可能需要静态分析PE文件的汇编代码,寻找调用或跳转指令,来确定OEP。 7. **计算OEP**:结合动态和静态分析的结果,最终确定OEP的准确位置。 这个VC++ 6.0工程可能包含了一个...
免杀破解利器-OEP查找工具-OepFinder汉化版
05-24
免杀破解利器-OEP查找工具-OepFinder汉化版免杀破解利器-OEP查找工具-OepFinder汉化版
OEP TOOL 查找工具
06-29
查找OEP的工具 能快速识别软件的OEP
脱壳:OEP(即程序入口点)查找 --- 基本思路和常见方法
turbocc 因程序而激情
05-20 5078
OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP), 只要我们找到程序真正的OEP,就可以立刻脱壳。PUSHAD (压栈) 代表程序的入口点,POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个,OEP就在附近。 常见寻找OEP脱壳的方法 方法一: 1.用OD载入,不分析代码! 2.单步向下跟踪F8,是向下跳的让它实现 3.遇到程序往回跳的(包括循环),我们在下一句代码处按F4(或者右健单击代码,选择断点——运行到所选) 4.绿色线条表示跳转没实...
OEP查找样例
V8cangshu的博客
06-15 450
由于Upack会将IMAGE_OPTIONAL_HEADER的NumberOfRvvaAndSizes值设置为A(十六进制)(默认为10)所以导致异常。忽略报错后。无法跳转EP位置,停留在ntdll.dll区域。 使用stud_PE得知EP的值为01001018接着在OD查找并设置新的OEP更改EIP。 前两条指令读取010011B0的前四个字节,在加到EAX当中获得0100739D,挂断点...
使用ESP定律查找程序OEP
iqiqiya的博客
04-11 1012
 遇到UPX壳 使用 ESP定律 找到程序OEP 载入OD  F8向下单步走 走了一步发现ESP寄存器变红 右键ESP 选择HW break [ESP] 点击菜单栏 调试à硬件断点 可以看到已经下好了断点  F9运行一次 断在了这里   接着一步F8即可到达OEP   关于例子下载及之后怎样脱壳 可以看我的这篇帖子160个crackme之005ajj.2破解思路及手脱UPX...
新手必须懂得什么叫OEP,以及查找的常用方式软件破解什么是oep?
要不,单步调试走起?
11-16 5711
转自: S.l.e!ep.¢% - C++博客 ============================== 新手必须懂得什么叫OEP,以及查找的常用方式软件破解什么是oep? original entry point 原始入口点 常见脱壳知识:1.PUSHAD (压栈) 代表程序的入口点  2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP
查找OEP PE入口点
Mr.Out的专栏
01-19 1778
oep是什么oep是程序入口点oep=original entry pointep=entry point O是指原来的意思E是指入口P是指点所以全称是原入口点的意思如何找oep(入口点)PE后两行半再过四个字节PE:一开始数四行退四个字节
第32章-OEP寻踪1
08-03
对于这种壳,需要寻找更精细的线索,如CALLEAX、CALLEBX或JMPEAX等指令,因为它们可能会将OEP的地址存储在寄存器中,通过调用或跳跃到相应寄存器来访问。 OllyDbg提供了搜索ALLCOMMANDS的功能,这使得逆向工程师...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值