反 “ESP定律“ 的方法以及原理。

最新推荐文章于 2024-03-15 19:29:17 发布
最新推荐文章于 2024-03-15 19:29:17 发布
阅读量721 收藏
点赞数
文章标签: 破解 加密 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xum2008/article/details/4801637
版权

 

对于在2000---2005 左右出的一些壳, ESP 定律无疑是他们的噩梦,它几乎能对他们进行秒杀哦。。。

当一个外国的高手提出 堆栈平衡 的时候,这种方法被用来对付加了壳的程序,秒杀当时的很多壳。。

回到正题,堆栈平衡,我想知道一点破解的人都应该知道,它可以用于脱绝大部分的压缩壳,一些早期的加密壳,

想 UPX, ASPACK,北斗这样的玩意。。

但是,我想,如果我的程序,怎么样来保护自己不被秒杀?

很重要的一点,堆栈的平衡被用于脱壳,是因为他能在我们的壳最后解压或处理完,跳向 OEP 时,中断下来。

我想,我们可以通过修改程序跳向 OEP 前的几个字节,不让cracker 能在我们的大门口停下,我们可以在程序入站的

时候,将环境的变量多复制几份,保存在几个不同的地址,当程序出站时,随即的调用恢复环境的函数,让断点远离

我们的OEP ,经过我的测试,程序可能会段在程序的领空,对于破解者,这个可不是有用的东西。。。

当然,修改程序,让堆栈不平衡,也是可以达到这样的效果,但是,程序的稳定性就不好说了。。。

专注成就专业_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
脱壳(一) —— ESP定律
weixin_44122225的博客
11-20 2212
1.PUSHAD (压栈) 代表程序的入口点, 2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近 3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP/FOEP),只要我们找到程序真正的OEP,就可以立刻脱壳。 一、ESP定理脱壳 (通过下ESP硬件访问断点找到OEP) 1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突现变成红色。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) 2.选中ESP,进行数据访问
ESP32DEVKITV1原理
01-09
ESP32DEVKITV1是一款基于ESP32芯片的开发板,常用于...以上是ESP32DEVKITV1原理图的主要组成部分和功能。理解这些知识有助于开发者更好地利用该开发板进行项目开发,包括硬件扩展、软件编程以及与其他设备的通信。
逆向crackme之ESp定律脱壳
qq_58970968的博客
06-19 773
1 前言此题来自攻防世界高手进阶区的一道逆向题目 crackme,通过对可执行程序进行脱壳,该壳为北斗的壳,涉及到ESP定律,大体流程是找到call处的ESp,在数据窗口中跟随,下个硬件访问断点,就到了OEP处,用ODdump脱壳就行了。脱壳完成之后使用IDA打开查看main函数里面的伪代码写脚本,最后得到flag,这里面涉及到三个常用逆向工具的使用,exeinfope,onllydbg ida;2 工具介绍OllyDugOLLYDBG是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring
ESP脱壳定律
不凡乃大的博客
07-03 1348
ESP脱壳定律
ESP定律脱壳(吾爱复现)
weixin_49764009的博客
12-21 2611
ESP定律简介 ESP定理脱壳(ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了!) 1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突变成红色。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) 2.在命令行下:dd XXXXXXXX(指在当前代码中的ESP地址,或者是hr XXXXXXXX),按回车! 3.选中下断的地址,断点—>硬件访—>WORD断点。 4.按一下F9运行程序,直接来到了跳转处,按下F8,到达程
ESP定律原理及其适用范围
D_R_L_T的博客
07-07 2721
一、准备知识 在我们开始讨论ESP定律之前,我先给你讲解一下一些简单的汇编知识。1.call这个命令是访问子程序的一个汇编基本指令。也许你说,这个我早就知道了!别急请继续看完。call真正的意义是什么呢?我们可以这样来理解:1.向堆栈中压入下一行程序的地址;2.JMP到call的子程序地址处。例如:00401029.E8 DA240A00 call 004A35080040102E.5A ...
ESP32原理图以及手册
06-19
本资料包含ESP32的原理图和用户手册,将帮助我们深入理解其内部结构、工作原理以及如何进行有效的开发。 **ESP32的主要特性** 1. **双核32位处理器**:ESP32搭载两个Tensilica LX6微处理器核心,主频可高达240MHz...
ESP32原理图和PCB
03-07
通过分析ESP32的原理图和PCB设计,开发者可以更好地理解如何实现模块的功能,以及如何解决可能出现的问题,这对于硬件设计和调试至关重要。在实际项目中,开发者可以根据具体需求调整和优化设计,确保产品的可靠性和...
ESP8266Nodemcu原理图.pdf
02-20
ESP8266 NodeMCU 是一款基于 ESP8266 芯片的开源硬件平台,常用于物联网(IoT)项目。NodeMCU v3 版本引入了 CH...通过了解原理图,开发者可以更好地理解硬件工作方式,从而更有效地利用 ESP8266 NodeMCU 的所有功能。
ESP32硬件设计原理
10-11
进行eps32设计的指导 硬件设计手册 通过硬件设计可以完善。 用于ESP32硬件设计,参考原理图 实现简单,内容详细,完备。
第二课_ESP定律详解&LordPE脱壳
07-15
第二课_ESP定律详解&LordPE脱壳,入门指导
ESP定律.rar
03-15
ESP定律加密的程序脱壳的资料。汇编和加密解密。
详细介绍了脱壳常用的esp定律
10-03
详细介绍了脱壳常用的esp定律
16种可用ESP定律脱的壳
01-29
详尽介绍了可以用ESP定律手动脱壳,我学习后受益匪浅。
利用ESP定律进行脱壳 ——合天网安实验室学习笔记
weixin_42582241的博客
03-17 974
实验链接 通过本实验理解ESP原理的操作机理,并掌握使用ESP原理进行脱壳的流程。 链接:http://www.hetianlab.com/expc.do?ce=ec372be3-7a24-4309-838d-92dc0e83869b 实验简介 实验所属系列: CTF竞赛 实验对象: 本科/专科信息安全专业 相关课程及专业: Windows编程,C语言,汇编语言 实验类别: 实践实验类 预备知识 ...
破解入门(五)-----实战"ESP定律"脱壳
系统运维
06-10 627
ESP定律的步骤 ESP定理脱壳(ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了!) (1)开始就点F8,注意观察OD右上角的寄存器中ESP有没突现(变成红色)(这只是一 般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) (2)在命令行下:ddXXXXXXXX(指在当前代码中的ESP地址,或者是hrXXXXXXXX), ...
Lenus兄弟写的寻找真正的入口(OEP)--广义ESP定律
begin_programe的专栏
09-21 1010
[转贴]Lenus兄弟写的.难得的好文章!!.[转贴]Lenus兄弟写的寻找真正的入口(OEP)--广义ESP定律作者:LenusFROM: poptown.gamewan.com/bbsE-MAIL:meila2003@163.com1.前言    在论坛上看到很多朋友,不知道什么是ESP定律ESP的适用范围是什么,ESP定律原理是什么,如何使用ESP定律?看到了我在“”调查结果
ESP定律脱壳详解
juce的专栏
03-29 5249
在我们开始讨论ESP定律之前,我先给你讲解一下一些简单的汇编知识。    1.call    这个命令是访问子程序的一个汇编基本指令。也许你说,这个我早就知道了!别急请继续看完。    call真正的意义是什么呢?我们可以这样来理解:1.向堆栈中压入下一行程序的地址;2.JMP到call的子程序地址处。例如: 00401029 .   E8 DA240A00 call 004A3508
ESP定理手动脱壳
最新发布
2301_81223471的博客
03-15 486
本人还是一个正在摸索的小白,可能会有说错的地方,请大家多加指点!本人这篇文章可以让大家了解如何快速的过掉简单的壳,并没有讲解壳的执行流程等知识。使用ESP定律脱壳之前 ,我们要先知道什么是ESP定律ESP是汇编中的栈顶寄存器,存放着栈顶的地址,栈顶和栈底有一个特性,那就是堆栈平衡,尤其是在调用函数的时候表示的尤为明显。
简述ESP定律在脱壳中的应用。
06-10
ESP定律是指在函数调用时,栈指针ESP的值会随着参数压栈和返回地址压栈而发生变化。在脱壳中,我们可以利用ESP定律来定位加壳程序的OEP(Original Entry Point),即程序的入口点。 具体来说,我们可以通过在加壳程序中设置断点,然后在断点处查看ESP的值,找到调用加壳壳之前的ESP的值,从而推断出OEP的地址。这是因为,在调用加壳壳之前,程序的栈指针ESP指向的是原始程序的栈帧,而在加壳壳中,栈指针ESP的值会随着加壳壳代码的执行而发生变化。因此,通过查看ESP的值,我们可以找到加壳之前的ESP值,从而得到OEP的地址。 ESP定律在脱壳中的应用还包括了调试器中的寄存器监视功能,我们可以将ESP寄存器设置为监视对象,当ESP寄存器的值发生变化时,调试器会自动跳转到相应的代码行,帮助我们更方便地定位OEP。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值