ESP定律脱壳(吾爱复现)

最新推荐文章于 2024-03-15 19:29:17 发布
最新推荐文章于 2024-03-15 19:29:17 发布
阅读量3.4k 收藏 18
点赞数 7
文章标签: 经验分享 反汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49764009/article/details/122059947
版权

ESP定律法简介

ESP定理脱壳(ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了!)
1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突变成红色。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值)
2.在命令行下:dd XXXXXXXX(指在当前代码中的ESP地址,或者是hr XXXXXXXX),按回车!
3.选中下断的地址,断点—>硬件访—>WORD断点。
4.按一下F9运行程序,直接来到了跳转处,按下F8,到达程序OEP。

题目文件(吾爱)

链接:https://pan.baidu.com/s/10AAYhLn_hOIuK9kdjD9kyw 提取码:6its

(00.aspack.exe为源程序,ESP_1.exe为Dump文件,ESP_1_.exe为修复后文件)

基本面

在这里插入图片描述
32位 ASPack壳

脱壳

在这里插入图片描述
发现pushad指令,判断程序已加壳

按下F8单步步过,使得程序走到CALL的位置
在这里插入图片描述
然后对ESP下硬件断点
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

F9再将程序运行起来
在这里插入图片描述
运行之后就直接来到了我们的跳转处

然后我们进行单步步过(F8)寻找我们程序原始的OEP(原始入口点)
一般第一个跳转之后就是OEP了
在这里插入图片描述在这里插入图片描述
在这里插入图片描述
经过了ret汇编指令我们就来到了真正的原始OEP入口点

剩下的话就是通过插件就可以将我们的程序dump下来然后修复转储就可以了
在这里插入图片描述

转储之后在进行修复转储
在这里插入图片描述
在这里插入图片描述
选择我们刚才转储的文件进行修复
这样就完成了我们的脱壳

010

接下来就是将这个使用010Editor关闭随机机制,保存文件
在这里插入图片描述
将40 81 改为00 81

保存后打开即可
在这里插入图片描述

原帖

https://www.52pojie.cn/thread-1564404-1-1.html

感谢大佬的教程!!!

雪月三十
关注
脱壳() —— ESP定律
weixin_44122225的博客
11-20 2351
1.PUSHAD (压栈) 代表程序的入口点, 2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近 3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP/FOEP),只要我们找到程序真正的OEP,就可以立刻脱壳。 一、ESP定理脱壳 (通过下ESP硬件访问断点找到OEP) 1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突现变成红色。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) 2.选中ESP,进行数据访问
利用ESP定律进行脱壳
ChuMeng1999的博客
11-11 1002
目录预备知识壳的概念UPXPEiDOllyDbg实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 基础的汇编语言命令以及对汇编程序的基本审计能力。 壳的概念 加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段。加壳过的程序可以直接运行,但是不能查看源代码。要经过脱壳才可以查看源代码。 加壳是利用特殊的算法,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过Windows加载器载入内
手动脱壳_ESP定律
m0_74091653的博客
09-17 415
UPX是一种常见的压缩壳。通过PEID检测到是UPX的壳的话,可以用如下四种方式来脱壳:单步跟踪法、ESP定律、内存镜像法、POPAD查找法1.单步跟踪法执行单步跟踪程序,当发现大跨度跳转如JMP、JE、RETN等指令出现时,程序入口点(Original Entry Point,OEP)可能就在附近。2. ESP 定律法。
【图】用ESP定律脱壳
qingye
10-19 2888
用堆栈平衡定律脱壳【附图】用PEiD查壳,看【图1】 用OD载入,【图2】,注意ESP的值变化 F8单步,来到这,看见ESP值变化,在命令窗口中输入【图3】 继续F8,单步,走到我们想到的地方【图4】现在到了OEP了,接下来脱壳【图5】 看清【图6】,记下修正值,如果程序需要修复要用到这个值 用PEiD查看已经脱壳的程序【图7】 用修复软件,先运行没有脱壳的程序,然后选中他的进程【图8】
ESP脱壳定律
不凡乃大的博客
07-03 1555
ESP脱壳定律
ESP定理手动脱壳
最新发布
2301_81223471的博客
03-15 800
本人还是一个正在摸索的小白,可能会有说错的地方,请大家多加指点!本人这篇文章可以让大家了解如何快速的过掉简单的壳,并没有讲解壳的执行流程等知识。使用ESP定律脱壳之前 ,我们要先知道什么是ESP定律ESP是汇编中的栈顶寄存器,存放着栈顶的地址,栈顶和栈底有一个特性,那就是堆栈平衡,尤其是在调用函数的时候表示的尤为明显。
ESP定律脱壳
juce的专栏
03-29 791
我们现在用的很多工具基本都是加了壳的.壳一般分为压缩壳和加密壳.压缩壳主要是减小工具软件的体积方便在网络上传播,加密壳就是起保护软件反汇编的作用.如果我们想要修改某个工具,就得脱壳,现在网上最流行的就是ESP脱壳法了,当然还有很多脱壳的方法.我会在以后的博文里介绍给大家.今天就来说ESP定律脱壳法吧.    今天就以啊D扫描工具来演示吧.如图1所示.这个工具是被加了UPX 的一个压缩壳,我们现在
第三课_ESP定律脱壳&简单爆破
07-15
第三课_ESP定律脱壳&简单爆破 入门转高手课程系列
脱壳第一讲,手工脱壳ASPack2.12的壳.ESP定律-附件资源
03-05
脱壳第一讲,手工脱壳ASPack2.12的壳.ESP定律-附件资源
OD动调之脱壳:使用ESP定律寻找
09-03
在本场景中,我们关注的是“OD动调之脱壳:使用ESP定律寻找”,这通常指的是利用OllyDbg(OD)这样的动态调试器来分析和移除程序的保护壳。"mazeupx"标签暗示了我们要处理的是一个使用UPX壳的程序,UPX是一种广泛...
ESP定律脱壳详解
juce的专栏
03-29 5594
在我们开始讨论ESP定律之前,我先给你讲解一下一些简单的汇编知识。    1.call    这个命令是访问子程序的一个汇编基本指令。也许你说,这个我早就知道了!别急请继续看完。    call真正的意义是什么呢?我们可以这样来理解:1.向堆栈中压入下一行程序的地址;2.JMP到call的子程序地址处。例如: 00401029 .   E8 DA240A00 call 004A3508
ESP定律脱壳
小龙在线
09-12 1047
上一篇使用单步调试的方法非常慢,还可以使用ESP定律法快速定位。 OllyDbg打开notepad.exe文件: 这里我们看到程序用了pushad来保存现场环境。我们单步,按F8步过一下,运行至0040D002的位置: 这时在Ollydbg右侧的寄存器面板上,ESP对应的数值变为红色: 也就是你会发现,ESP对应的0018FF6C是红色的 我们右键点击0018FF6C,选择HW break[ESP],然后直接运行, 即按F9,我们来到了0040D3B0的位置处, 我们继续向下按F8到retn返回,就
ESP定律手工脱壳步骤
09-26 1521
第一步:查壳第二步:用OD载入。第三步:按F8单步向下走,注意,当右边的ESP(堆栈指针寄存器),和EIP(    指令指针寄存器)同时变红时,就停下。第四步:记下ESP地址,并在左下角的Commanc中输入 dd ESP所对应的地址。    并回车。第五步:在数值下面单击右键--断点----硬件访问---WORD。第六步:按F9运行来到断点。第七步:然后在按F8单步向下走,注意:一个大跳转就来到
ESP定律 和手动脱壳原理分析 <转>
secondwatch的专栏
08-02 1425
原文地址:http://hi.baidu.com/love_fj1314/blog/item/b82544cfea83b05a0fb34593.html ESP定律手动脱壳原理分析 一.准备知识 在我们开始讨论ESP定律之前,我先给你讲解一下一些简单的汇编知识。 1.call 这个命令是访问子程序的一个汇编基本指令。也许你说,这个我早就知道了!别急请继续看完。call
利用ESP定律脱壳
学习........
09-15 1213
ESP 定律脱16种壳大全 关于 ESP 脱壳找 EOP ESP 定律:就是加载程序后 F8单步运行 第一个变化的 ESP 值,右击寄存器上 ESP 在转存中跟随,在内存地址上 选中前四个,右击,断点,硬件访问,word F9,中断,....返回。
利用ESP定律进行脱壳 ——合天网安实验室学习笔记
weixin_42582241的博客
03-17 1218
实验链接 通过本实验理解ESP原理的操作机理,并掌握使用ESP原理进行脱壳的流程。 链接:http://www.hetianlab.com/expc.do?ce=ec372be3-7a24-4309-838d-92dc0e83869b 实验简介 实验所属系列: CTF竞赛 实验对象: 本科/专科信息安全专业 相关课程及专业: Windows编程,C语言,汇编语言 实验类别: 实践实验类 预备知识 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值