手动脱壳---ESP定律

最新推荐文章于 2024-03-15 19:29:17 发布
原创 最新推荐文章于 2024-03-15 19:29:17 发布 · 1.2k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#手动脱壳 #ESP定律

首先这篇文章不是讲ESP定律的原理,第一次接触ESP定律,跟着教程做了一遍,做个笔记,记录手动脱壳的过程。

首先载入OD,F8执行到pushad下面的call,然后观察寄存器,如果只有ESPEIP是红色的,那么可以用ESP定律

右键ESP的数据,选择数据窗口中跟随,可以看到左下角的数据窗口发生了跳转。

upack0.png

然后选择第一个数据 --> 右键 --> 断点 --> 硬件访问 --> Byte(Word和Dword也行)

upack1.png

然后可以通过调试菜单硬件断点来查看刚才下的断点。

upack2.png

下完断点后点击运行,然后程序停在一个popfd的指令,下面有一个大的跳转F8执行。

upack3.png

会出现下图的界面,我们右键 --> 分析 --> 从模块中删除分析。

upack4.png

删除分析后就可以用OllyDump脱壳调试进程进行脱壳保存了。

upack5.png

下面是脱壳之前和脱壳之后,程序用IDA打开的对比,可以明显发现二者之间的区别。

upack6.png

利用ESP定律进行脱壳
ChuMeng1999的博客
11-11 1062
目录预备知识壳的概念UPXPEiDOllyDbg实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 基础的汇编语言命令以及对汇编程序的基本审计能力。 壳的概念 加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段。加壳过的程序可以直接运行,但是不能查看源代码。要经过脱壳才可以查看源代码。 加壳是利用特殊的算法,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过Windows加载器载入内
upx手动脱壳esp定律手动脱壳
__ys的博客
06-02 1686
ESP定律手动脱壳 拿到有upx壳的文件后,首先用xdbg打开。 然后F9运行到用户代码(有upx壳文件一般为pushed) 然后F8单步运行一下,发现右边寄存器esp变红了,因此此处可以使用esp定律 接下来按图示方法: F9运行 发现popad,它的出现标志着我们的程序可能到达OEP,经验证下方的jmp跳转即为OEP 在jmp处下断点,F9运行,F8单步运行,到达OEP 之后用Scylla插件进行脱壳,具体步骤如下: 第一步点击IAT Autosearch 第二步点击Get Import
脱壳(一) —— ESP定律
weixin_44122225的博客
11-20 2502
1.PUSHAD (压栈) 代表程序的入口点, 2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近 3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP/FOEP),只要我们找到程序真正的OEP,就可以立刻脱壳。 一、ESP定理脱壳 (通过下ESP硬件访问断点找到OEP) 1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突现变成红色。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) 2.选中ESP,进行数据访问
ESP定律手动脱壳原理分析 <转>
secondwatch的专栏
08-02 1456
原文地址:http://hi.baidu.com/love_fj1314/blog/item/b82544cfea83b05a0fb34593.html ESP定律手动脱壳原理分析 一.准备知识 在我们开始讨论ESP定律之前,我先给你讲解一下一些简单的汇编知识。 1.call 这个命令是访问子程序的一个汇编基本指令。也许你说,这个我早就知道了!别急请继续看完。call
ESP定律手工脱壳步骤
09-26 1558
第一步:查壳第二步:用OD载入。第三步:按F8单步向下走,注意,当右边的ESP(堆栈指针寄存器),和EIP(    指令指针寄存器)同时变红时,就停下。第四步:记下ESP地址,并在左下角的Commanc中输入 dd ESP所对应的地址。    并回车。第五步:在数值下面单击右键--断点----硬件访问---WORD。第六步:按F9运行来到断点。第七步:然后在按F8单步向下走,注意:一个大跳转就来到
buuctf 新年快乐 ESP定律脱壳
qq_37073764的博客
04-02 534
查壳,发现是upx壳。 我们可以直接使用脱壳机,这里使用ESP定律手动脱壳。 打开IDA,发现根本分析不了: 把程序拖入x32dbg,点击选项->首选项: 至少选择这两个断点,否则不知道停在哪个地方。 第一行就是pushad。 按F7,进入到下一行,然后发现ESP已经变了。 右击ESP的数字,点击在转储中跟随, 右击第一行,选择断点,“硬件,存取”,双字。 然后按F9继续运行。 已经到了popad的位置。 继续调试或者根据经验可以发现,00401280就是OEP。 点击插件->Sc
利用ESP定律进行脱壳 ——合天网安实验室学习笔记
weixin_42582241的博客
03-17 1303
实验链接 通过本实验理解ESP原理的操作机理,并掌握使用ESP原理进行脱壳的流程。 链接:http://www.hetianlab.com/expc.do?ce=ec372be3-7a24-4309-838d-92dc0e83869b 实验简介 实验所属系列: CTF竞赛 实验对象: 本科/专科信息安全专业 相关课程及专业: Windows编程,C语言,汇编语言 实验类别: 实践实验类 预备知识 ...
VMP3.5 脱壳--查找OEP
墨鱼菜鸡
09-09 1360
背景 无 VMP的介绍 相信看到这篇文章的人都听过或了解过vmp,基本遇到vmp加壳的程序基本就是右键回收站,但是如果只是简单的加了一层vmp壳的话,还是可以分析的。 vmp加壳方式 下面是程序代码 int main() { printf("222222222\n"); system("pause"); return 0; } 然后...
手动脱壳进阶教程:第9-10篇详解
在第9篇中,可能涉及的主题包括但不限于:如何识别不同类型的壳(如ASPack、FSG、Petite、MEW等),利用ESP定律法快速定位OEP;分析壳的解密循环结构,设置硬件断点监控关键寄存器变化;处理壳中常见的跳转混淆技术...
ESP定理手动脱壳
最新发布
2301_81223471的博客
03-15 962
本人还是一个正在摸索的小白,可能会有说错的地方,请大家多加指点!本人这篇文章可以让大家了解如何快速的过掉简单的壳,并没有讲解壳的执行流程等知识。使用ESP定律脱壳之前 ,我们要先知道什么是ESP定律ESP是汇编中的栈顶寄存器,存放着栈顶的地址,栈顶和栈底有一个特性,那就是堆栈平衡,尤其是在调用函数的时候表示的尤为明显。
第三课_ESP定律脱壳&简单爆破
07-15
第三课_ESP定律脱壳&简单爆破 入门转高手课程系列
使用ESP定律_手工脱壳
weixin_30521161的博客
07-05 339
ESP定律脱壳一般的加壳软件在执行时,首先要初始化,保存环境(保存各个寄存器的值),一般利用PUSHAD(相当于把所有寄存器都压栈),当加壳程序的外壳执行完毕以后,再来恢复各个寄存器的内容,通过跨区段的转移来跳到程序的OEP来执行原程序,简单点来说就是会将加壳过程执行一遍之后会跳到OEP来执行源程序,当我们找到了OEP的时候就是找到了源程序,即可实现脱壳。 通常在软件的破解过程中,会遇到代码经过...
ESP定律脱壳
小丢的专栏
10-31 1862
ESP定律脱壳,很容易上手,网上也有这方面的视频教程,看一个就知道了。不过对于ESP定律的原来,暂时不去研究。看雪论坛上面很有多讨论这个问题的帖子,有兴趣的朋友可以自己去找找看。本人对ESP定律该在何时使用也很迷茫中。 ESP定律的大概步骤: OD载入加壳程序,然后当popad执行之后,观察ESP的值,然后跟踪ESP的值在内存中的位置,对那个地方进行下断点(word的硬件访问断点)。接着F
ESP脱壳定律
不凡乃大的博客
07-03 1649
ESP脱壳定律
ESP定律脱壳详解
juce的专栏
03-29 5675
在我们开始讨论ESP定律之前,我先给你讲解一下一些简单的汇编知识。    1.call    这个命令是访问子程序的一个汇编基本指令。也许你说,这个我早就知道了!别急请继续看完。    call真正的意义是什么呢?我们可以这样来理解:1.向堆栈中压入下一行程序的地址;2.JMP到call的子程序地址处。例如: 00401029 .   E8 DA240A00 call 004A3508
ESP定律脱壳(吾爱复现)
weixin_49764009的博客
12-21 4048
ESP定律法简介 ESP定理脱壳ESPOD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了!) 1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突变成红色。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) 2.在命令行下:dd XXXXXXXX(指在当前代码中的ESP地址,或者是hr XXXXXXXX),按回车! 3.选中下断的地址,断点—>硬件访—>WORD断点。 4.按一下F9运行程序,直接来到了跳转处,按下F8,到达程
利用ESP定律手动脱upx壳
2201_75522173的博客
07-07 796
ESP定律法是脱壳的利器,是应用频率最高的脱壳方法之一.
深入解析ESP定律与LordPE脱壳技术
ESP定律和LordPE脱壳是深入学习逆向工程和软件保护领域的基础技能。ESP定律分析者能够深入理解程序在面对异常时的内部处理机制,而LordPE工具则是实现脱壳过程中的一个重要工具。通过这些知识的学习,可以对软件的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值