【灌水】天草逆向, esp定律脱壳

最新推荐文章于 2025-06-29 21:27:08 发布
最新推荐文章于 2025-06-29 21:27:08 发布
阅读量1.2k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Reverse ing
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ls1160/article/details/41958893
本文介绍了一种使用ESP定律进行脱壳的方法,并通过实例演示了整个脱壳过程。包括设置硬件断点、跟随数据、dump当前进程等步骤,最终验证脱壳成功。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

纯属灌水文章。今天随便看了一下天草高级视频。觉得讲得一般吧,题目是ip验证的,但是关于ip验证的相关的东西一个也没讲。是纯粹的破解。自己拿程序来试吧,发现没有服务端,完全不能通信实验。

期间谈到的所有相关的点,也是我平时有意无意会注意到的。

比如:

1、利用验证、确定之类的按钮,追踪关键跳;

2、从jnz  、je 等关键跳向上回溯找到关键判断 --》 cmp,test等。


就是这些思路,win32窗体程序算简单的,而且我看了这个程序,没有什么算法,加的壳也很简单,可能看的教程比较老了。

所有酒灌个水吧。直接贴一下esp定律成功脱壳的过程。

程序加壳的一般方法是,在真正的程序进入之前,加上一段加密、或者压缩的编码、解码程序,使得逆向工作者无法直接看到程序内部。

同事程序还遵循一个规律,作为一个额外添加进来的程序,为了不影响源程序的功能,会保持堆栈平衡。所以在esp的数据位置下硬件断点就好。


一般是可以这样断的,但是有些也不行。  我很多次遇到的都是不行的,这次好不容易遇到一个行的,所以也找到机会灌水了。

1、在esp中数据跟随:


2、设置硬件断点:


3、运行起来多走几部就到了:


4、dump下当前的进程:


5、检验效果,已经脱壳:


利用ESP定律进行脱壳
ChuMeng1999的博客
11-11 1019
目录预备知识壳的概念UPXPEiDOllyDbg实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 基础的汇编语言命令以及对汇编程序的基本审计能力。 壳的概念 加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段。加壳过的程序可以直接运行,但是不能查看源代码。要经过脱壳才可以查看源代码。 加壳是利用特殊的算法,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过Windows加载器载入内
脱壳(一) —— ESP定律
weixin_44122225的博客
11-20 2384
1.PUSHAD (压栈) 代表程序的入口点, 2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近 3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP/FOEP),只要我们找到程序真正的OEP,就可以立刻脱壳。 一、ESP定理脱壳 (通过下ESP硬件访问断点找到OEP) 1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突现变成红色。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) 2.选中ESP,进行数据访问
【图】用ESP定律脱壳
qingye
10-19 2902
用堆栈平衡定律脱壳【附图】用PEiD查壳,看【图1】 用OD载入,【图2】,注意ESP的值变化 F8单步,来到这,看见ESP值变化,在命令窗口中输入【图3】 继续F8,单步,走到我们想到的地方【图4】现在到了OEP了,接下来脱壳【图5】 看清【图6】,记下修正值,如果程序需要修复要用到这个值 用PEiD查看已经脱壳的程序【图7】 用修复软件,先运行没有脱壳的程序,然后选中他的进程【图8】
通过ESP定律手动脱壳
最新发布
2303_79314941的博客
06-29 1659
本人在学习时用到的参考资料:xdbg使用ESP定律脱压缩壳详解xdbg脱壳参考这篇文章主要是帮助校内新生熟悉手动脱壳流程写的,各位大师傅可以自行略过。
ESP定律脱壳
2303_81165358的博客
08-21 323
在程序执行过程中,尤其是当函数调用发生时,ESP的值会发生变化,以反映栈上新的栈帧的创建。当函数返回时,ESP的值会恢复到函数调用之前的值,以保持栈的平衡。这就是堆栈平衡定律,也称ESP定律。在加了壳的软件中,程序刚开始加载时,首先会执行解密程序,而ESP栈顶指针会在解密程序执行完毕后,跳回到真正的程序时,有一个大幅度的跳转,这个跳转过程中ESP指针会回到执行解密程序之前的值。根据这一特性,通过跟踪ESP指针的归位时刻,可以找到解密程序的结束位置,进而找到程序的入口点(EP点),从而实现脱壳
ESP脱壳定律
不凡乃大的博客
07-03 1586
ESP脱壳定律
ESP定律脱壳
小龙在线
09-12 1072
上一篇使用单步调试的方法非常慢,还可以使用ESP定律法快速定位。 OllyDbg打开notepad.exe文件: 这里我们看到程序用了pushad来保存现场环境。我们单步,按F8步过一下,运行至0040D002的位置: 这时在Ollydbg右侧的寄存器面板上,ESP对应的数值变为红色: 也就是你会发现,ESP对应的0018FF6C是红色的 我们右键点击0018FF6C,选择HW break[ESP],然后直接运行, 即按F9,我们来到了0040D3B0的位置处, 我们继续向下按F8到retn返回,就
天草逆向教程视频 全20节课
12-29
天草逆向教程,全20节课,视频及部分课件,经典不可错过。
天草<>全部1-58课的视频
12-29
天草壳的世界全部1-58课的视频,包含课件和部分笔记。早期破解逆向脱壳大神的培训课程资料,学习后对付一般的脱壳,绰绰有余。解压密码请查看压缩包中的文件名。
天草 壳编写 视频教程 全16节课
12-29
大神天草 关于壳的编写的视频教程,学完后,能轻松编写壳软件。
天草 论坛 逆向工程常用工具
08-05
逆向工程,是一种技术手段,用于理解软件或硬件的工作原理,通常在安全分析、软件调试、病毒查杀等领域发挥重要作用。对于IT专业人士来说,掌握一些逆向工程的常用工具是必不可少的。以下是一些在逆向工程中常用的...
天草黑鹰破解教程全集打包下载
07-24
天草破解,黑鹰破解教程全集打包下载,迅雷直接下载,无需KEY
ESP定理手动脱壳
2301_81223471的博客
03-15 830
本人还是一个正在摸索的小白,可能会有说错的地方,请大家多加指点!本人这篇文章可以让大家了解如何快速的过掉简单的壳,并没有讲解壳的执行流程等知识。使用ESP定律脱壳之前 ,我们要先知道什么是ESP定律ESP是汇编中的栈顶寄存器,存放着栈顶的地址,栈顶和栈底有一个特性,那就是堆栈平衡,尤其是在调用函数的时候表示的尤为明显。
ESP定律脱壳(吾爱复现)
weixin_49764009的博客
12-21 3704
ESP定律法简介 ESP定理脱壳ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了!) 1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突变成红色。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) 2.在命令行下:dd XXXXXXXX(指在当前代码中的ESP地址,或者是hr XXXXXXXX),按回车! 3.选中下断的地址,断点—>硬件访—>WORD断点。 4.按一下F9运行程序,直接来到了跳转处,按下F8,到达程
ESP定律脱壳详解
juce的专栏
03-29 5624
在我们开始讨论ESP定律之前,我先给你讲解一下一些简单的汇编知识。    1.call    这个命令是访问子程序的一个汇编基本指令。也许你说,这个我早就知道了!别急请继续看完。    call真正的意义是什么呢?我们可以这样来理解:1.向堆栈中压入下一行程序的地址;2.JMP到call的子程序地址处。例如: 00401029 .   E8 DA240A00 call 004A3508
利用ESP定律进行脱壳 ——合天网安实验室学习笔记
weixin_42582241的博客
03-17 1239
实验链接 通过本实验理解ESP原理的操作机理,并掌握使用ESP原理进行脱壳的流程。 链接:http://www.hetianlab.com/expc.do?ce=ec372be3-7a24-4309-838d-92dc0e83869b 实验简介 实验所属系列: CTF竞赛 实验对象: 本科/专科信息安全专业 相关课程及专业: Windows编程,C语言,汇编语言 实验类别: 实践实验类 预备知识 ...
Enigma 1.65软件:天草17课件练习工具
- “天草17”指出该软件关联的是名为“天草”的课程或教材中的第17课。 - “课件”表明这是一个教育软件,用于课程教学,可能包含多媒体内容如视频、音频、图片及文本。 ### 压缩包子文件的文件名称列表知识点:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值