利用ESP定律脱壳

最新推荐文章于 2025-10-30 12:52:38 发布
原创 最新推荐文章于 2025-10-30 12:52:38 发布 · 1.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c #exe #web

部署运行你感兴趣的模型镜像
ESP 定律脱16种壳大全

关于 ESP 脱壳找 EOP

ESP 定律:就是加载程序后 F8单步运行 第一个变化的 ESP 值,右击寄存器上 ESP 在转存中跟随,在内存地址上 选中前四个,右击,断点,硬件访问,word F9,中断,....返回。

(D 12ffc0 选四个下硬件写入 dword) 我的其它小记


1. Aspcak 方法:
ESP+6175(Sb) POPAD JMP

2. UPX 方法:
S 0000 The First JMP
变种
ESP+S (60E9)
0040EA0E 60 PUSHAD
0040EA0F - E9 B826FFFF JMP chap702.004010CC


3. PECompact 1.68 - 1.84
ESP
Or 注意 第一个 PUSH XXXX XXXX+基址(400000)=EOP

4. EZIP 1.0 方法:
ESP

5. JDPack 1.x / JDProtect 0.9
ESP+S(6150)

0040E3F8 894424 1C MOV DWORD PTR SS:[ESP+1C],EAX
0040E3FC 61 POPAD
0040E3FD 50 PUSH EAX
0040E3FE C3 RETN
0040E3FF 23E8 AND EBP,EAX

6. PE Pack 1.0
ESP+S (61ff)
0040D26F 61 POPAD
0040D270 FFE0 JMP EAX

7. WWPack32 1.x
ESP

8. PEDiminisher 0.1
ESP+S(FFE0) or S(JMP EAX)
0041708D 5D POP EBP
0041708E 5F POP EDI
0041708F 5E POP ESI
00417090 5A POP EDX
00417091 59 POP ECX
00417092 5B POP EBX
00417093 - FFE0 JMP EAX

9. DxPACK V0.86
ESP+S(JMP EAX or 61ffe0)
0040D163 61 POPAD
0040D164 - FFE0 JMP EAX

10. PKLITE32 1.1
F8 5 次来到 EOP

11. 32Lite 0.03a
ESP 往下找到
PUSH EAX
50c3 or PUSH EAX
003780F4 50 PUSH EAX
003780F5 C3 RETN
来到
0041C53C FF96 84B50100 CALL DWORD PTR DS:[ESI+1B584]
0041C542 61 POPAD
0041C543 - E9 0848FFFF JMP QEDITOR.00410D50
注意:先用 LoadPE 转存 Olldbg 加载的那个加壳文件,退出,运行加壳后的文件,RecImport 修正 EOP 修复抓取文件到 DUMP 的那个文件。


12. VGCrypt PE Encryptor V0.75
ESP 安 F9(断点开始),地址-1=EOP


13. PC Shrinker 0.71
ESP
00142BA8 BA CC104000 MOV EDX,4010CC
00142BAD FFE2 JMP EDX

14. Petite2.2
1. D 12ffa0
3 下 F9
来到 EOP=地址-1
2. ESP 两下 同上

15. EXE Stealth2.72
ESP+S()

0040D49F 8B9D B62F4000 MOV EBX,DWORD PTR SS:[EBP+402FB6]
0040D4A5 039D BA2F4000 ADD EBX,DWORD PTR SS:[EBP+402FBA]
将堆栈中值10cc+400000=4010cc 得出记事本的Oep. 加壳软件的oep.
0040D4AB C1CB 07 ROR EBX,7


注明:
例子: ESP+S (60E9)
后面 S 是搜索的意思,里面为搜索内容,可能是 Ctrl+F 的也可能是 Ctrl+B
 
Google
 

您可能感兴趣的与本文相关的镜像

Stable-Diffusion-3.5

Stable-Diffusion-3.5

图片生成
Stable-Diffusion

Stable Diffusion 3.5 (SD 3.5) 是由 Stability AI 推出的新一代文本到图像生成模型,相比 3.0 版本,它提升了图像质量、运行速度和硬件效率

cracker_love
关注
利用ESP定律进行脱壳 ——合天网安实验室学习笔记
weixin_42582241的博客
03-17 1287
实验链接 通过本实验理解ESP原理的操作机理,并掌握使用ESP原理进行脱壳的流程。 链接:http://www.hetianlab.com/expc.do?ce=ec372be3-7a24-4309-838d-92dc0e83869b 实验简介 实验所属系列: CTF竞赛 实验对象: 本科/专科信息安全专业 相关课程及专业: Windows编程,C语言,汇编语言 实验类别: 实践实验类 预备知识 ...
逆向crackme之ESp定律脱壳
qq_58970968的博客
06-19 990
1 前言此题来自攻防世界高手进阶区的一道逆向题目 crackme,通过对可执行程序进行脱壳,该壳为北斗的壳,涉及到ESP定律,大体流程是找到call处的ESp,在数据窗口中跟随,下个硬件访问断点,就到了OEP处,用ODdump脱壳就行了。脱壳完成之后使用IDA打开查看main函数里面的伪代码写脚本,最后得到flag,这里面涉及到三个常用逆向工具的使用,exeinfope,onllydbg ida;2 工具介绍OllyDugOLLYDBG是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring
[NISACTF 2022]ezpython
最新发布
2401_89602742的博客
10-30 148
摘要 该文描述了一个程序逆向分析过程:首先对UPX加壳程序进行脱壳处理,然后使用pycdc反编译pyc文件。分析代码发现程序采用RSA加密和异或解密双重保护机制。核心逻辑是用户输入与特定字符串解密结果比对,若匹配则显示flag。作者通过逆向分析发现可以直接输入预设密钥"this is key"来获取flag,无需破解RSA加密。最终获得的flag为flag{0e26d898-b454-43de-9c87-eb3d122186bc}。
ESP定律脱壳
小龙在线
09-12 1176
上一篇使用单步调试的方法非常慢,还可以使用ESP定律法快速定位。 OllyDbg打开notepad.exe文件: 这里我们看到程序用了pushad来保存现场环境。我们单步,按F8步过一下,运行至0040D002的位置: 这时在Ollydbg右侧的寄存器面板上,ESP对应的数值变为红色: 也就是你会发现,ESP对应的0018FF6C是红色的 我们右键点击0018FF6C,选择HW break[ESP],然后直接运行, 即按F9,我们来到了0040D3B0的位置处, 我们继续向下按F8到retn返回,就
使用ESP定律_手工脱壳
weixin_30521161的博客
07-05 324
ESP定律脱壳一般的加壳软件在执行时,首先要初始化,保存环境(保存各个寄存器的值),一般利用PUSHAD(相当于把所有寄存器都压栈),当加壳程序的外壳执行完毕以后,再来恢复各个寄存器的内容,通过跨区段的转移来跳到程序的OEP来执行原程序,简单点来说就是会将加壳过程执行一遍之后会跳到OEP来执行源程序,当我们找到了OEP的时候就是找到了源程序,即可实现脱壳。 通常在软件的破解过程中,会遇到代码经过...
ESP脱壳定律
不凡乃大的博客
07-03 1631
ESP脱壳定律
ESP定律 和手动脱壳原理分析 <转>
secondwatch的专栏
08-02 1455
原文地址:http://hi.baidu.com/love_fj1314/blog/item/b82544cfea83b05a0fb34593.html ESP定律手动脱壳原理分析 一.准备知识 在我们开始讨论ESP定律之前,我先给你讲解一下一些简单的汇编知识。 1.call 这个命令是访问子程序的一个汇编基本指令。也许你说,这个我早就知道了!别急请继续看完。call
buuctf 新年快乐 ESP定律脱壳
qq_37073764的博客
04-02 527
查壳,发现是upx壳。 我们可以直接使用脱壳机,这里使用ESP定律手动脱壳。 打开IDA,发现根本分析不了: 把程序拖入x32dbg,点击选项->首选项: 至少选择这两个断点,否则不知道停在哪个地方。 第一行就是pushad。 按F7,进入到下一行,然后发现ESP已经变了。 右击ESP的数字,点击在转储中跟随, 右击第一行,选择断点,“硬件,存取”,双字。 然后按F9继续运行。 已经到了popad的位置。 继续调试或者根据经验可以发现,00401280就是OEP。 点击插件->Sc
利用ESP定律进行脱壳
ChuMeng1999的博客
11-11 1057
目录预备知识壳的概念UPXPEiDOllyDbg实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 基础的汇编语言命令以及对汇编程序的基本审计能力。 壳的概念 加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段。加壳过的程序可以直接运行,但是不能查看源代码。要经过脱壳才可以查看源代码。 加壳是利用特殊的算法,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过Windows加载器载入内
第三课_ESP定律脱壳&简单爆破
07-15
第三课_ESP定律脱壳&简单爆破 入门转高手课程系列
详细介绍了脱壳常用的esp定律
10-03
详细介绍了脱壳常用的esp定律
脱壳(一) —— ESP定律
weixin_44122225的博客
11-20 2481
1.PUSHAD (压栈) 代表程序的入口点, 2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近 3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP/FOEP),只要我们找到程序真正的OEP,就可以立刻脱壳。 一、ESP定理脱壳 (通过下ESP硬件访问断点找到OEP) 1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突现变成红色。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) 2.选中ESP,进行数据访问
ESP定理手动脱壳
2301_81223471的博客
03-15 931
本人还是一个正在摸索的小白,可能会有说错的地方,请大家多加指点!本人这篇文章可以让大家了解如何快速的过掉简单的壳,并没有讲解壳的执行流程等知识。使用ESP定律脱壳之前 ,我们要先知道什么是ESP定律ESP是汇编中的栈顶寄存器,存放着栈顶的地址,栈顶和栈底有一个特性,那就是堆栈平衡,尤其是在调用函数的时候表示的尤为明显。
通过ESP定律手动脱壳
2303_79314941的博客
06-29 1863
本人在学习时用到的参考资料:xdbg使用ESP定律脱压缩壳详解xdbg脱壳参考这篇文章主要是帮助校内新生熟悉手动脱壳流程写的,各位大师傅可以自行略过。
ESP定律脱壳(吾爱复现)
weixin_49764009的博客
12-21 4007
ESP定律法简介 ESP定理脱壳ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了!) 1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突变成红色。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) 2.在命令行下:dd XXXXXXXX(指在当前代码中的ESP地址,或者是hr XXXXXXXX),按回车! 3.选中下断的地址,断点—>硬件访—>WORD断点。 4.按一下F9运行程序,直接来到了跳转处,按下F8,到达程
ESP定律脱壳
小丢的专栏
10-31 1859
ESP定律脱壳,很容易上手,网上也有这方面的视频教程,看一个就知道了。不过对于ESP定律的原来,暂时不去研究。看雪论坛上面很有多讨论这个问题的帖子,有兴趣的朋友可以自己去找找看。本人对ESP定律该在何时使用也很迷茫中。 ESP定律的大概步骤: OD载入加壳程序,然后当popad执行之后,观察ESP的值,然后跟踪ESP的值在内存中的位置,对那个地方进行下断点(word的硬件访问断点)。接着F
ESP定律脱壳详解
juce的专栏
03-29 5666
在我们开始讨论ESP定律之前,我先给你讲解一下一些简单的汇编知识。    1.call    这个命令是访问子程序的一个汇编基本指令。也许你说,这个我早就知道了!别急请继续看完。    call真正的意义是什么呢?我们可以这样来理解:1.向堆栈中压入下一行程序的地址;2.JMP到call的子程序地址处。例如: 00401029 .   E8 DA240A00 call 004A3508
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值