逆向入门之使用ESP定律脱壳

最新推荐文章于 2025-06-29 21:27:08 发布
原创 最新推荐文章于 2025-06-29 21:27:08 发布 · 1.5k 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍使用ESP定律进行软件脱壳的过程,包括查壳、载入OD、跟随ESP地址、设置硬件断点、删除无效函数、修复PE函数、绕过自校验等关键步骤,为逆向工程爱好者提供实用技巧。

使用ESP定律脱壳实战

查壳

在这里插入图片描述

载入OD

  • 首先F8
    在这里插入图片描述

    在这么多寄存器中,只有ESP是红色的,则可以使用ESP定律来脱壳

  • 选择好ESP地址,然后右键,在数据窗口中跟随
    在这里插入图片描述
    这个时候就来到了ESP指定的地址
    在这里插入图片描述
    然后选择几个数据(多少无所谓)
    在这里插入图片描述
    最右边三个选项随便选,都无所谓

    然后点击运行,这个时候程序就会停在我们设置好的硬件断点上
    在这里插入图片描述

    然后删除硬件断点
    在这里插入图片描述

    然后一直F8 知道出现这个页面
    在这里插入图片描述
    然后右键->分析->从模块中删除分析
    在这里插入图片描述
    然后右键->用OllyDump脱壳调试进程
    在这里插入图片描述
    复制修正值
    在这里插入图片描述

LordPE

在这里插入图片描述
在这里插入图片描述

PE函数修复

在这里插入图片描述
在这里插入图片描述
这儿为刚才复制的修正值


在这里插入图片描述
点击自动查找和获取输入表,然后点击显示无效函数,如果有无效函数就删除无效函数,然后点击修复转存文件

在这里插入图片描述
这儿选择我们用LordPE导出的文件

绕过自校验

由于许多壳都有自校验,会自动检测文件大小,如果不同会自动退出,所以我们打不开文件,这儿我们就需要绕过自校验

设置断点

在这里插入图片描述
点击运行,程序停在文件大小检测函数
在这里插入图片描述

然后点击反汇编窗口跟随,就会自动跳转到这个函数

然后在第一行下断点,然后删除我们第一次设置的断点,即获取文件大小的那个断点
然后F9运行程序
这个时候就有一系列比较,我们只需要修改一些程序,比如说NOP不跳转之类的~~
在这里插入图片描述

这个时候再保存文件就可以了~~

这样就完成了所有工作

逆向——脱壳
wk19951125的博客
05-06 976
逆向——脱壳有壳和无壳的区别壳的类型区别脱壳的关键寻找OEP寻找大跳转SFX功能定位OEP内存执行定位OEPESP定律VB程序快速定位OEP最后一次异常法定位OEP利用壳常用函数来定位OEP参考文献 #脱壳 有壳和无壳的区别 壳的类型 压缩壳 加密壳 虚拟机壳 区别 入口点改变 区段信息改变 代码段程序隐藏 加壳程序修改后无法保存 运行后,恢复的程序会将修改的内容覆盖 脱壳的关键 寻找OE...
脱壳(一) —— ESP定律
weixin_44122225的博客
11-20 2482
1.PUSHAD (压栈) 代表程序的入口点, 2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近 3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP/FOEP),只要我们找到程序真正的OEP,就可以立刻脱壳。 一、ESP定理脱壳 (通过下ESP硬件访问断点找到OEP) 1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突现变成红色。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) 2.选中ESP,进行数据访问
2018/5/16 逆向脱壳的几个方法(单步跟踪,ESP定律使用出口标志,SFX方法)
startr4ck
05-16 1697
来自于西普实验吧在线实验单步跟踪法破解Aspack条件:一般是不是很复杂的程序方法:通过载入程序,当程序弹出点击事件框的时候就重新od载入,因为当点击事件框出现的时候意味着程序已经进入了oep当中。所以当不断进入call当中去寻找oep所在位置,中间遇到跳转使用f4进行标记汇编命令再运行就可以跳转。找到之后进行运行,删除分析,使用od的脱壳调试进行有两种方法分别都采用一次。得到两个文件都进行保存,...
ESP定理手动脱壳
2301_81223471的博客
03-15 935
本人还是一个正在摸索的小白,可能会有说错的地方,请大家多加指点!本人这篇文章可以让大家了解如何快速的过掉简单的壳,并没有讲解壳的执行流程等知识。使用ESP定律脱壳之前 ,我们要先知道什么是ESP定律ESP是汇编中的栈顶寄存器,存放着栈顶的地址,栈顶和栈底有一个特性,那就是堆栈平衡,尤其是在调用函数的时候表示的尤为明显。
ESP定律手工脱壳步骤
09-26 1555
第一步:查壳第二步:用OD载入。第三步:按F8单步向下走,注意,当右边的ESP(堆栈指针寄存器),和EIP(    指令指针寄存器)同时变红时,就停下。第四步:记下ESP地址,并在左下角的Commanc中输入 dd ESP所对应的地址。    并回车。第五步:在数值下面单击右键--断点----硬件访问---WORD。第六步:按F9运行来到断点。第七步:然后在按F8单步向下走,注意:一个大跳转就来到
ESP定律脱壳
2303_81165358的博客
08-21 409
在程序执行过程中,尤其是当函数调用发生时,ESP的值会发生变化,以反映栈上新的栈帧的创建。当函数返回时,ESP的值会恢复到函数调用之前的值,以保持栈的平衡。这就是堆栈平衡定律,也称ESP定律。在加了壳的软件中,程序刚开始加载时,首先会执行解密程序,而ESP栈顶指针会在解密程序执行完毕后,跳回到真正的程序时,有一个大幅度的跳转,这个跳转过程中ESP指针会回到执行解密程序之前的值。根据这一特性,通过跟踪ESP指针的归位时刻,可以找到解密程序的结束位置,进而找到程序的入口点(EP点),从而实现脱壳
逆向crackme之ESp定律脱壳
qq_58970968的博客
06-19 991
1 前言此题来自攻防世界高手进阶区的一道逆向题目 crackme,通过对可执行程序进行脱壳,该壳为北斗的壳,涉及到ESP定律,大体流程是找到call处的ESp,在数据窗口中跟随,下个硬件访问断点,就到了OEP处,用ODdump脱壳就行了。脱壳完成之后使用IDA打开查看main函数里面的伪代码写脚本,最后得到flag,这里面涉及到三个常用逆向工具的使用,exeinfope,onllydbg ida;2 工具介绍OllyDugOLLYDBG是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring
OD动调之脱壳使用ESP定律寻找
09-03
在本场景中,我们关注的是“OD动调之脱壳使用ESP定律寻找”,这通常指的是利用OllyDbg(OD)这样的动态调试器来分析和移除程序的保护壳。"mazeupx"标签暗示了我们要处理的是一个使用UPX壳的程序,UPX是一种广泛...
利用ESP定律进行脱壳 ——合天网安实验室学习笔记
weixin_42582241的博客
03-17 1287
实验链接 通过本实验理解ESP原理的操作机理,并掌握使用ESP原理进行脱壳的流程。 链接:http://www.hetianlab.com/expc.do?ce=ec372be3-7a24-4309-838d-92dc0e83869b 实验简介 实验所属系列: CTF竞赛 实验对象: 本科/专科信息安全专业 相关课程及专业: Windows编程,C语言,汇编语言 实验类别: 实践实验类 预备知识 ...
利用ESP定律进行脱壳
ChuMeng1999的博客
11-11 1058
目录预备知识壳的概念UPXPEiDOllyDbg实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 基础的汇编语言命令以及对汇编程序的基本审计能力。 壳的概念 加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段。加壳过的程序可以直接运行,但是不能查看源代码。要经过脱壳才可以查看源代码。 加壳是利用特殊的算法,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过Windows加载器载入内
深入解析ESP定律与LordPE脱壳技术
ESP定律和LordPE脱壳是深入学习逆向工程和软件保护领域的基础技能。ESP定律让分析者能够深入理解程序在面对异常时的内部处理机制,而LordPE工具则是实现脱壳过程中的一个重要工具。通过这些知识的学习,可以对软件的...
ESP定律脱壳
小龙在线
09-12 1182
上一篇使用单步调试的方法非常慢,还可以使用ESP定律法快速定位。 OllyDbg打开notepad.exe文件: 这里我们看到程序用了pushad来保存现场环境。我们单步,按F8步过一下,运行至0040D002的位置: 这时在Ollydbg右侧的寄存器面板上,ESP对应的数值变为红色: 也就是你会发现,ESP对应的0018FF6C是红色的 我们右键点击0018FF6C,选择HW break[ESP],然后直接运行, 即按F9,我们来到了0040D3B0的位置处, 我们继续向下按F8到retn返回,就
ESP脱壳定律
不凡乃大的博客
07-03 1633
ESP脱壳定律
利用ESP定律脱壳
学习........
09-15 1257
ESP 定律脱16种壳大全 关于 ESP 脱壳找 EOP ESP 定律:就是加载程序后 F8单步运行 第一个变化的 ESP 值,右击寄存器上 ESP 在转存中跟随,在内存地址上 选中前四个,右击,断点,硬件访问,word F9,中断,....返回。
逆向分析脱壳技巧总结
关注互联网安全的小虾米一枚
07-26 2751
一.脱壳基础知识要点 1.PUSHAD :(压栈) 代表程序的入口点 2.POPAD :(出栈) 代表程序的出口点,与PUSHAD想对应.看到这个,就说明快到OEP了. 3.OEP:程序的入口点,软件加壳就是隐藏OEP.而我们脱壳就是为了找OEP. --------------------------------------- 二.脱壳调试过程中辨认快到OEP的方法 下
逆向基础——软件手动脱壳技术入门
weixin_34248118的博客
03-08 912
YHZX_2013 · 2015/09/07 14:06这里整合了一下之前自己学习软件手工脱壳的一些笔记和脱文,希望能给新学软件逆向脱壳的童鞋们一点帮助。1 一些概念1.1 加壳加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段。加壳过的程序可以直接运行,但是不能查看源代码。要经过脱壳才可以查看源代码。加壳是利用特殊的算法,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP 的效...
通过ESP定律手动脱壳
最新发布
2303_79314941的博客
06-29 1873
本人在学习时用到的参考资料:xdbg使用ESP定律脱压缩壳详解xdbg脱壳参考这篇文章主要是帮助校内新生熟悉手动脱壳流程写的,各位大师傅可以自行略过。
逆向---脱壳技巧
peng05的博客
12-16 1006
3.接着按下【Shift+F9】,然后再次按下【ALT+M】,再次来到了这个位置,我们在【00401000】处下一个【F2】断点。2.不要运行程序,直接按下【Alt+ M】 切换到以下模块,选择.rsrc资源,并下一个【F2】断点。1.OD载入程序,并打开【选项】-> 【调试选项】 -> 【异常】 -> 【忽略所有异常】。调试选项异常全部取消,【Shift+F9】定位到异常次数-1,看异常句柄单步调试。调试选项->SFX->字节方式跟踪,然后查看左下角信息提示进度。
UPX脱壳---ESP定律
2301_81060697的博客
06-07 626
详细介绍了如何使用x32/64dbg实现upx脱壳
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值