关于脱壳的一些笔记

最新推荐文章于 2023-12-25 14:52:27 发布
原创 最新推荐文章于 2023-12-25 14:52:27 发布 · 393 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细解析了VB、Delphi、C++、VC++ 和MASM(汇编)等编程语言的入口点,包括具体指令和操作,旨在帮助开发者深入理解不同语言的执行流程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

常见语言的入口点:

VB:

004012D4 >  68 54474000     push QQ个性网.00404754
004012D9    E8 F0FFFFFF     call <jmp.&MSVBVM60.#100>
004012DE    0000            add byte ptr ds:[eax],al
004012E0    0000            add byte ptr ds:[eax],al
004012E2    0000            add byte ptr ds:[eax],al
004012E4    3000            xor byte ptr ds:[eax],al
004012E6    0000            add byte ptr ds:[eax],al
004012E8    48              dec eax

delphi:

004A5C54 >  55              push ebp
004A5C55    8BEC            mov ebp,esp
004A5C57    83C4 F0         add esp,-10
004A5C5A    B8 EC594A00     mov eax,openpro.004A59EC

BC++:

00401678 > /EB 10           jmp short btengine.0040168A
0040167A   |66:623A         bound di,dword ptr ds:[edx]
0040167D   |43              inc ebx
0040167E   |2B2B            sub ebp,dword ptr ds:[ebx]
00401680   |48              dec eax
00401681   |4F              dec edi
00401682   |4F              dec edi
00401683   |4B              dec ebx
00401684   |90              nop
00401685  -|E9 98005400     jmp 00941722
0040168A   \A1 8B005400     mov eax,dword ptr ds:[54008B]
0040168F    C1E0 02         shl eax,2
00401692    A3 8F005400     mov dword ptr ds:[54008F],eax
00401697    52              push edx
00401698    6A 00           push 0
0040169A    E8 99D01300     call <jmp.&KERNEL32.GetModuleHandleA>
0040169F    8BD0            mov edx,eax

VC++:

0040A41E >  55              push ebp
0040A41F    8BEC            mov ebp,esp
0040A421    6A FF           push -1
0040A423    68 C8CB4000     push 跑跑排行.0040CBC8
0040A428    68 A4A54000     push <jmp.&MSVCRT._except_handler3>
0040A42D    64:A1 00000000  mov eax,dword ptr fs:[0]
0040A433    50              push eax
0040A434    64:8925 0000000>mov dword ptr fs:[0],esp
0040A43B    83EC 68         sub esp,68
0040A43E    53              push ebx
0040A43F    56              push esi
0040A440    57              push edi

MASM(汇编):

004035C9 >  6A 00           push 0
004035CB    E8 A20A0000     call <jmp.&kernel32.GetModuleHandleA>
004035D0    A3 5B704000     mov dword ptr ds:[40705B],eax
004035D5    68 80000000     push 80
004035DA    68 2C754000     push 11.0040752C
004035DF    FF35 5B704000   push dword ptr ds:[40705B]
004035E5    E8 820A0000     call <jmp.&kernel32.GetModuleFileNameA>
004035EA    E8 87070000     call 11.00403D76
004035EF    6A 00           push 0
004035F1    68 0B364000     push 11.0040360B
004035F6    6A 00           push 0
004035F8    6A 64           push 64
004035FA    FF35 5B704000   push dword ptr ds:[40705B]
简单脱壳教程笔记用到的工具和程序
03-18
http://blog.youkuaiyun.com/oBuYiSeng/article/category/6140987 中 简单脱壳教程笔记用到的工具和程序
脱壳练习(2)-最新免费版梆梆加固脱壳笔记-附件资源
03-02
脱壳练习(2)-最新免费版梆梆加固脱壳笔记-附件资源
FART12刷机脱壳记录笔记
Codeooo 博客
12-25 3624
fart12 脱壳系统 可以脱邦邦 爱加密 企业壳 等;
简单脱壳教程笔记
A powerful and unconstrained style
08-18 9812
简介: UPX (the Ultimate Packer for eXecutables)是一款先进的可执行程序文件压缩器,压缩过的可执行文件体积缩小50%-70%,主要功能是压缩PE文件(比如exe,dll等文件),有时候也可能被病毒用于免杀.壳upx是一种保护程序。 脱壳: 工具: ExeinfoPE或PEid、OD、LordPE、ImportREConstructor 脱壳文件: 01.rmvbfix.exe 笔记: 1、使用ExeinfoPE或PEid确定是否加壳 2、脱壳
常用脱壳笔记整理
热门推荐
Codeooo 博客
09-16 1万+
目前有用到的脱壳工具:BlackDex以及大佬手动脱壳是真的强目前博主使用youpk比较多,且基本可解决大部分加固;
脱壳笔记
格物致知
12-05 521
1、堆栈原理寻找OEP进行脱壳,第一次esp改变,数据窗口跟随,下硬件访问端点,F9断下地方多为jmp eax,eax即为OEP; 2、MEW之类的压缩壳,F8运行jmp XXXX,向下寻找ret下断点,F8运行至push ebp,即为OEP; 3、Alt+M,对代码段(401000)下断点; 4、FSG压缩壳,xchg典型入口点; 5、FSG压缩壳,单步F
安卓加壳与脱壳学习笔记
kernweak的博客
06-07 1496
#grep -Ril "IBM" /tmp 递归列出/tmp目录下包含文本字符串"IBM"的文件 有时要修复dex文件的前八个字节。 ClassLoader和动态加载 类加载器 Android的虚拟机ART和davilk都是JVM的一种实现,使用寄存器来实现。 JVM的类加载器包括3种: Bootstrap ClassLoader(引导类加载器) C/C++代码实现的加载器,用于加载指定的JDK的核心类库,比如java.lang.、java.uti.等这些系统类。Java虚拟机的启动就是通过Bootst
脱壳笔记-手工脱UPX压缩壳
走在成长的路上
01-03 1839
对upx壳的手工脱壳学习笔记
脱壳笔记-寻找OEP方法总结
走在成长的路上
01-03 7775
详解手动跟踪法、ESP定律方式、内存二次断点法的原理与使用
简单脱壳笔记
王二娃的生活的博客
10-06 592
这里对各类壳按照壳的特征分类说明:一、ACProtect1、ACProtect V2.0–VB6.0 脱壳前特征: VB入口特征: 可以依靠此特征来找到OEP,若发生stolen bytes ,也可以手动修补 脱壳流程简介: AC会把正常解密流程放到SEH中,故利用最后一次异常法找到关键跳转,设置跳转条件让它直接跳到OEP 1) 2)关键跳转处设置条件断点,这里是代码段内
Android应用APP脱壳笔记
weixin_34195364的博客
06-22 592
[TOC] 天下游 模拟定位技术点简析 通过代码分析初步猜测模拟定位用到的几处技术点: 获取了Root权限 通过反射获取android.os.ServiceManager对应的函数getServiceaddServicesCache com.txyapp.ipc.ITxySystemServerService 自定义了TxyWiFiTxyCellTxyLocation...
VMP2.05脱壳学习笔记
12-06
【VMP2.05脱壳学习笔记】 VMP2.05脱壳是指针对使用VMP2.05保护的可执行文件进行逆向工程的过程,以揭示其内部代码和逻辑。在这个过程中,我们需要利用调试工具,如Ollydbg,来逐步分析和解除保护层。 1. **设置...
脱壳教程笔记用到的工具和程序
03-18
http://blog.youkuaiyun.com/oBuYiSeng/article/category/6140987中的 简单脱壳教程笔记 用到的工具和程序
MATLAB代码:安全强化学习:使用Constraint Enforcement块训练RL代理 Constraint Enforcement 终极版
08-18
如何在MATLAB中使用Constraint Enforcement块来训练安全的强化学习(RL)代理。通过一个具体的球体追踪任务,演示了从创建环境和代理开始,经过定义约束函数、使用Constraint Enforcement块进行有约束训练以及最后在无约束环境下进一步训练的完整流程。文中强调了安全性在实际应用场景中的重要性,并提供了简化的MATLAB代码示例供读者参考。 适合人群:对强化学习感兴趣的研究人员和技术爱好者,尤其是关注安全性和MATLAB编程的人士。 使用场景及目标:适用于需要确保系统行为符合特定安全标准的应用场合,比如自动驾驶汽车、工业自动化设备的操作控制等。目的是让学习者掌握如何在MATLAB平台上构建并优化带有安全机制的强化学习模型。 其他说明:虽然文中提供的代码片段较为简单,但对于深入理解和实践安全强化学习的概念非常有帮助。建议读者结合MATLAB官方文档和其他相关资料一起学习,以便更好地理解和应用这一先进技术。
samba-winbind-clients-4.14.5-7.el8_5.tar.gz
08-18
# 适用操作系统:Centos8 #Step1、解压 tar -zxvf xxx.el8.tar.gz #Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm
【无人机路径规划】项目介绍 MATLAB实现基于多目标差分进化(MODE)进行无人机三维路径规划的详细项目实例(含模型描述及部分示例代码)
08-18
内容概要:本文档详细介绍了基于MATLAB实现多目标差分进化(MODE)算法进行无人机三维路径规划的项目实例。项目旨在提升无人机在复杂三维环境中路径规划的精度、实时性、多目标协调处理能力、障碍物避让能力和路径平滑性。通过引入多目标差分进化算法,项目解决了传统路径规划算法在动态环境和多目标优化中的不足,实现了路径长度、飞行安全距离、能耗等多个目标的协调优化。文档涵盖了环境建模、路径编码、多目标优化策略、障碍物检测与避让、路径平滑处理等关键技术模块,并提供了部分MATLAB代码示例。 适合人群:具备一定编程基础,对无人机路径规划和多目标优化算法感兴趣的科研人员、工程师和研究生。 使用场景及目标:①适用于无人机在军事侦察、环境监测、灾害救援、物流运输、城市管理等领域的三维路径规划;②通过多目标差分进化算法,优化路径长度、飞行安全距离、能耗等多目标,提升无人机任务执行效率和安全性;③解决动态环境变化、实时路径调整和复杂障碍物避让等问题。 其他说明:项目采用模块化设计,便于集成不同的优化目标和动态环境因素,支持后续算法升级与功能扩展。通过系统实现和仿真实验验证,项目不仅提升了理论研究的实用价值,还为无人机智能自主飞行提供了技术基础。文档提供了详细的代码示例,有助于读者深入理解和实践该项目。
蒂森电梯调试软件TCM Manager专业版:多版本支持与核心功能详解 · 通信协议
最新发布
08-18
蒂森电梯调试软件TCM Manager专业版的各项功能及其应用场景。该软件适用于Windows XP和Win7的32/64位操作系统,能够进行主板特性程序的下载和参数修改,支持无芯片更换主板、楼层显示调整、基站设置以及消防功能配置。文中还提供了具体的代码示例来展示如何利用软件提供的API接口对电梯主板进行固件刷新、参数包编辑、芯片模拟等操作,并强调了一些关键注意事项,如波特率匹配、密钥管理、安全操作规范等。 适合人群:电梯维护保养技术人员、电梯控制系统开发工程师。 使用场景及目标:主要用于解决电梯主板参数丢失、楼层显示异常等问题,帮助技术人员高效完成电梯系统的调试与维护任务。 其他说明:文中提及的一些高级操作存在一定风险,使用者应当谨慎行事并确保遵循正确的操作流程。同时,该软件的强大之处在于它实现了新老主板之间的无缝兼容,极大地方便了现场维修工作。
rubygem-httpclient-doc-2.8.0-8.el8.tar.gz
08-18
# 适用操作系统:Centos8 #Step1、解压 tar -zxvf xxx.el8.tar.gz #Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm
rubygem-public_suffix-4.0.7-1.el8.tar.gz
08-18
# 适用操作系统:Centos8 #Step1、解压 tar -zxvf xxx.el8.tar.gz #Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm
WUSTC TF Re学习笔记:解密挑战与技术实操
通过壳的识别和官方工具upx进行脱壳,揭示出了真正的flag:"wctf2020{Just_upx_-d}",这展示了对逆向工程工具和技术的运用。 在"level3"中,进入IDA64的main函数后,作者推断这是一个基于base64的自定义字符表加密...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值