关于脱壳的一些笔记

最新推荐文章于 2023-12-25 14:52:27 发布
原创 最新推荐文章于 2023-12-25 14:52:27 发布 · 401 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细解析了VB、Delphi、C++、VC++ 和MASM(汇编)等编程语言的入口点,包括具体指令和操作,旨在帮助开发者深入理解不同语言的执行流程。

常见语言的入口点:

VB:

004012D4 >  68 54474000     push QQ个性网.00404754
004012D9    E8 F0FFFFFF     call <jmp.&MSVBVM60.#100>
004012DE    0000            add byte ptr ds:[eax],al
004012E0    0000            add byte ptr ds:[eax],al
004012E2    0000            add byte ptr ds:[eax],al
004012E4    3000            xor byte ptr ds:[eax],al
004012E6    0000            add byte ptr ds:[eax],al
004012E8    48              dec eax

delphi:

004A5C54 >  55              push ebp
004A5C55    8BEC            mov ebp,esp
004A5C57    83C4 F0         add esp,-10
004A5C5A    B8 EC594A00     mov eax,openpro.004A59EC

BC++:

00401678 > /EB 10           jmp short btengine.0040168A
0040167A   |66:623A         bound di,dword ptr ds:[edx]
0040167D   |43              inc ebx
0040167E   |2B2B            sub ebp,dword ptr ds:[ebx]
00401680   |48              dec eax
00401681   |4F              dec edi
00401682   |4F              dec edi
00401683   |4B              dec ebx
00401684   |90              nop
00401685  -|E9 98005400     jmp 00941722
0040168A   \A1 8B005400     mov eax,dword ptr ds:[54008B]
0040168F    C1E0 02         shl eax,2
00401692    A3 8F005400     mov dword ptr ds:[54008F],eax
00401697    52              push edx
00401698    6A 00           push 0
0040169A    E8 99D01300     call <jmp.&KERNEL32.GetModuleHandleA>
0040169F    8BD0            mov edx,eax

VC++:

0040A41E >  55              push ebp
0040A41F    8BEC            mov ebp,esp
0040A421    6A FF           push -1
0040A423    68 C8CB4000     push 跑跑排行.0040CBC8
0040A428    68 A4A54000     push <jmp.&MSVCRT._except_handler3>
0040A42D    64:A1 00000000  mov eax,dword ptr fs:[0]
0040A433    50              push eax
0040A434    64:8925 0000000>mov dword ptr fs:[0],esp
0040A43B    83EC 68         sub esp,68
0040A43E    53              push ebx
0040A43F    56              push esi
0040A440    57              push edi

MASM(汇编):

004035C9 >  6A 00           push 0
004035CB    E8 A20A0000     call <jmp.&kernel32.GetModuleHandleA>
004035D0    A3 5B704000     mov dword ptr ds:[40705B],eax
004035D5    68 80000000     push 80
004035DA    68 2C754000     push 11.0040752C
004035DF    FF35 5B704000   push dword ptr ds:[40705B]
004035E5    E8 820A0000     call <jmp.&kernel32.GetModuleFileNameA>
004035EA    E8 87070000     call 11.00403D76
004035EF    6A 00           push 0
004035F1    68 0B364000     push 11.0040360B
004035F6    6A 00           push 0
004035F8    6A 64           push 64
004035FA    FF35 5B704000   push dword ptr ds:[40705B]
简单脱壳教程笔记用到的工具和程序
03-18
http://blog.youkuaiyun.com/oBuYiSeng/article/category/6140987 中 简单脱壳教程笔记用到的工具和程序
精选资源
脱壳练习(2)-最新免费版梆梆加固脱壳笔记-附件资源
03-02
脱壳练习(2)-最新免费版梆梆加固脱壳笔记-附件资源
FART12刷机脱壳记录笔记
Codeooo 博客
12-25 3920
fart12 脱壳系统 可以脱邦邦 爱加密 企业壳 等;
简单脱壳教程笔记
A powerful and unconstrained style
08-18 9975
简介: UPX (the Ultimate Packer for eXecutables)是一款先进的可执行程序文件压缩器,压缩过的可执行文件体积缩小50%-70%,主要功能是压缩PE文件(比如exe,dll等文件),有时候也可能被病毒用于免杀.壳upx是一种保护程序。 脱壳: 工具: ExeinfoPE或PEid、OD、LordPE、ImportREConstructor 脱壳文件: 01.rmvbfix.exe 笔记: 1、使用ExeinfoPE或PEid确定是否加壳 2、脱壳
常用脱壳笔记整理
热门推荐
Codeooo 博客
09-16 1万+
目前有用到的脱壳工具:BlackDex以及大佬手动脱壳是真的强目前博主使用youpk比较多,且基本可解决大部分加固;
脱壳笔记
格物致知
12-05 534
1、堆栈原理寻找OEP进行脱壳,第一次esp改变,数据窗口跟随,下硬件访问端点,F9断下地方多为jmp eax,eax即为OEP; 2、MEW之类的压缩壳,F8运行jmp XXXX,向下寻找ret下断点,F8运行至push ebp,即为OEP; 3、Alt+M,对代码段(401000)下断点; 4、FSG压缩壳,xchg典型入口点; 5、FSG压缩壳,单步F
安卓加壳与脱壳学习笔记
kernweak的博客
06-07 1642
#grep -Ril "IBM" /tmp 递归列出/tmp目录下包含文本字符串"IBM"的文件 有时要修复dex文件的前八个字节。 ClassLoader和动态加载 类加载器 Android的虚拟机ART和davilk都是JVM的一种实现,使用寄存器来实现。 JVM的类加载器包括3种: Bootstrap ClassLoader(引导类加载器) C/C++代码实现的加载器,用于加载指定的JDK的核心类库,比如java.lang.、java.uti.等这些系统类。Java虚拟机的启动就是通过Bootst
关于脱壳工具(UPX)的笔记
qq_42984708的博客
09-04 1739
叙述:刚才说到解压.xz文件 小编现在在做海思的3536D的开发工作,目的是让改好的程序放进开发板,但是由于编译好的程序文件达到了18M左右,这个大小对于开发板来说超出了它能容纳的量,所以我们需要对它进行压缩,那么脱壳工具upx就起到了这个作用。它是在保证程序还是可执行文件的基础上对齐进行压缩。 这是我通过脚本执行完的压缩完成的图片: 从图上可以看出 td3520文件从19M压缩到了3M多 附上upx的下载路径,根据需要下载对应的文件 https://github.com/upx/upx/releases
脱壳笔记-手工脱UPX压缩壳
走在成长的路上
01-03 2116
对upx壳的手工脱壳学习笔记
脱壳笔记-寻找OEP方法总结
走在成长的路上
01-03 7909
详解手动跟踪法、ESP定律方式、内存二次断点法的原理与使用
简单脱壳笔记
王二娃的生活的博客
10-06 612
这里对各类壳按照壳的特征分类说明:一、ACProtect1、ACProtect V2.0–VB6.0 脱壳前特征: VB入口特征: 可以依靠此特征来找到OEP,若发生stolen bytes ,也可以手动修补 脱壳流程简介: AC会把正常解密流程放到SEH中,故利用最后一次异常法找到关键跳转,设置跳转条件让它直接跳到OEP 1) 2)关键跳转处设置条件断点,这里是代码段内
VMP2.05脱壳学习笔记
12-06
【VMP2.05脱壳学习笔记】 VMP2.05脱壳是指针对使用VMP2.05保护的可执行文件进行逆向工程的过程,以揭示其内部代码和逻辑。在这个过程中,我们需要利用调试工具,如Ollydbg,来逐步分析和解除保护层。 1. **设置...
脱壳教程笔记用到的工具和程序
03-18
http://blog.youkuaiyun.com/oBuYiSeng/article/category/6140987中的 简单脱壳教程笔记 用到的工具和程序
qiyubrother_DelphiFrameDemo_25664_1766035689119.zip
12-19
qiyubrother_DelphiFrameDemo_25664_1766035689119.zip
The AES-CMAC Algorithm
12-19
The AES-CMAC Algorithm
Bilibili排行榜热门视频数据信息数据集 CSV+JSON
12-19
直接从bilibili api获取,字段名未经修改,具体字段含义请自查。
一个基于Vuejs框架构建的现代化实时聊天消息应用系统_该项目实现了用户注册登录验证联系人列表管理一对一私聊会话群组聊天室创建实时消息发送接收在线状态显示消息历史记录.zip
最新发布
12-19
一个基于Vuejs框架构建的现代化实时聊天消息应用系统_该项目实现了用户注册登录验证联系人列表管理一对一私聊会话群组聊天室创建实时消息发送接收在线状态显示消息历史记录.zip
十轴IMU模块-AHRS角度姿态、加速度计、磁力计、气压陀螺仪传感器资料下载
12-19
十轴IMU模块-AHRS角度姿态、加速度计、磁力计、气压陀螺仪传感器资料下载 1、通信协议 说明 2、3D模型。 3、程序源码。(1)IIC和主控通信、(2)串口和主控通信。主控包含:Arduino、STM32、ESP32、Raspberry5等。
EI复现基于主从博弈的新型城镇配电系统产消者竞价策略【IEEE33节点】(Matlab代码实现)电力系统基于主从博弈的新型城镇配电系统产消者竞价策略研究IEEEEI复现基于主从博弈的新型33节点
12-19
【EI复现】基于主从博弈的新型城镇配电系统产消者竞价策略【IEEE33节点】(Matlab代码实现)内容概要:本文介绍了基于主从博弈理论的新型城镇配电系统中产消者竞价策略的研究,结合IEEE33节点系统,利用Matlab进行仿真代码实现。该研究聚焦于电力市场环境下产消者(既生产又消费电能的主体)之间的博弈行为建模,通过构建主从博弈模型优化竞价策略,提升配电系统运行效率与经济性。文中详细阐述了模型构建思路、优化算法设计及Matlab代码实现过程,旨在复现高水平期刊(EI收录)研究成果,适用于电力系统优化、能源互联网及需求响应等领域。; 适合人群:具备电力系统基础知识和一定Matlab编程能力的研究生、科研人员及从事能源系统优化工作的工程技术人员;尤其适合致力于电力市场博弈、分布式能源调度等方向的研究者。; 使用场景及目标:① 掌握主从博弈在电力系统产消者竞价中的建模方法;② 学习Matlab在电力系统优化仿真中的实际应用技巧;③ 复现EI级别论文成果,支撑学术研究或项目开发;④ 深入理解配电系统中分布式能源参与市场交易的决策机制。; 阅读建议:建议读者结合IEEE33节点标准系统数据,逐步调试Matlab代码,理解博弈模型的变量设置、目标函数构建与求解流程;同时可扩展研究不同市场机制或引入不确定性因素以增强模型实用性。
PEiD脱壳工具包及使用说明
KuNgBiM.txt 这个文件名较为特殊,可能是一位开发者或研究者的代号记录,也可能包含特定壳的分析笔记脱壳技巧汇总或是某次实际脱壳案例的技术日志。此类文件往往承载着实践经验总结,对于理解复杂壳体的行为模式...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值