ESP定律

最新推荐文章于 2024-03-15 19:29:17 发布
原创 最新推荐文章于 2024-03-15 19:29:17 发布 · 603 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

该博客提供了教程课件及百度网盘链接。介绍了脱壳操作,先查壳发现有壳后载入OD,利用ESP定律,在ESP寄存器操作设断点,运行后可用OD自带或LoadPE等脱壳工具,给出LoadPE偏移25567,还需用ImportREC导入表修复软件结合偏移修复文件。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

教程课件:
https://www.xuepojie.com/thread-13269-1-1.html
百度网盘链接: https://pan.baidu.com/s/1i1QVB2R-HrkfVGpETU0S1Q
密码: 7tkd

  1. 先查壳,发现有壳
    在这里插入图片描述
  2. 载入OD
    在这里插入图片描述
    开始画面 ,然后按下F8,发现八个寄存器只有ESP是红色,这个时候就可以使用ESP定律
    在这里插入图片描述
    然后在ESP寄存器上右键->数据窗口跟随,随便选择一点数据,只要从12ffc0开始,然后再这个数据上右键->断点->硬件访问->byte(字和双字都可以的)
    在这里插入图片描述
    运行
    在这里插入图片描述
    这个时候可以用OD自带的脱壳工具,也可以用其他的,比如LoadPE,偏移是25567,LoadPE先修复镜像大小,然后完全转存,保存一个exe文件后,用ImportREC导入表修复软件对文件进行修复,用这个软件的时候就需要用到通过ESP定律得到的25567这个偏移。
脱壳(一) —— ESP定律
weixin_44122225的博客
11-20 2384
1.PUSHAD (压栈) 代表程序的入口点, 2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近 3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP/FOEP),只要我们找到程序真正的OEP,就可以立刻脱壳。 一、ESP定理脱壳 (通过下ESP硬件访问断点找到OEP) 1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突现变成红色。(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) 2.选中ESP,进行数据访问
利用ESP定律进行脱壳
ChuMeng1999的博客
11-11 1019
目录预备知识壳的概念UPXPEiDOllyDbg实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 基础的汇编语言命令以及对汇编程序的基本审计能力。 壳的概念 加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段。加壳过的程序可以直接运行,但是不能查看源代码。要经过脱壳才可以查看源代码。 加壳是利用特殊的算法,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过Windows加载器载入内
Lenus兄弟写的寻找真正的入口(OEP)--广义ESP定律
begin_programe的专栏
09-21 1061
[转贴]Lenus兄弟写的.难得的好文章!!.[转贴]Lenus兄弟写的寻找真正的入口(OEP)--广义ESP定律作者:LenusFROM: poptown.gamewan.com/bbsE-MAIL:meila2003@163.com1.前言    在论坛上看到很多朋友,不知道什么是ESP定律ESP的适用范围是什么,ESP定律的原理是什么,如何使用ESP定律?看到了我在“”调查结果
脱壳第一讲,手工脱壳ASPack2.12的壳.ESP定律-附件资源
03-05
脱壳第一讲,手工脱壳ASPack2.12的壳.ESP定律-附件资源
OD动调之脱壳:使用ESP定律寻找
09-03
在本场景中,我们关注的是“OD动调之脱壳:使用ESP定律寻找”,这通常指的是利用OllyDbg(OD)这样的动态调试器来分析和移除程序的保护壳。"mazeupx"标签暗示了我们要处理的是一个使用UPX壳的程序,UPX是一种广泛...
ESP定律 和手动脱壳原理分析 <转>
secondwatch的专栏
08-02 1433
原文地址:http://hi.baidu.com/love_fj1314/blog/item/b82544cfea83b05a0fb34593.html ESP定律手动脱壳原理分析 一.准备知识 在我们开始讨论ESP定律之前,我先给你讲解一下一些简单的汇编知识。 1.call 这个命令是访问子程序的一个汇编基本指令。也许你说,这个我早就知道了!别急请继续看完。call
ESP定律实用演示代码
03-15
ESP定律给加密的程序脱壳的资料。反汇编和加密解密。
ESP脱壳定律
不凡乃大的博客
07-03 1586
ESP脱壳定律
ESP定律的原理
weixin_34101229的博客
08-18 168
壳代码在一开始会使用PUSHAD指令将所有的寄存器入栈,此时ESP所指向的内存记录着某一个寄存器的值。 然后我们ESP指向的内存处下一个硬件内存访问断点 执行完壳代码后会将所有的寄存器值出栈以平衡堆栈POPAD,CPU需要访问ESP记录的值,壳代码解压完程序代码后,最后平衡堆栈时必然要从ESP所指向的内存中读取之前存入的某个寄存器的值,所以必定会触发此断点,此时离真正的OEP也不远了 PUSHA...
手动脱壳_ESP定律
m0_74091653的博客
09-17 464
UPX是一种常见的压缩壳。通过PEID检测到是UPX的壳的话,可以用如下四种方式来脱壳:单步跟踪法、ESP定律、内存镜像法、POPAD查找法1.单步跟踪法执行单步跟踪程序,当发现大跨度跳转如JMP、JE、RETN等指令出现时,程序入口点(Original Entry Point,OEP)可能就在附近。2. ESP 定律法。
OEP和ESP定理
java开发指南博客 【转载】
04-07 276
OEP   OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP), 只要我们找到程序真正的OEP,就可以立刻脱壳。 PUSHAD (压栈) 代表程序的入口点   POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个OEP就在附近拉    常见寻找OEP脱壳的方法 方法一: 1.用OD载入,不分析代码! 2.单步向下跟踪F8...
ESP定律手工脱壳步骤
09-26 1531
第一步:查壳第二步:用OD载入。第三步:按F8单步向下走,注意,当右边的ESP(堆栈指针寄存器),和EIP(    指令指针寄存器)同时变红时,就停下。第四步:记下ESP地址,并在左下角的Commanc中输入 dd ESP所对应的地址。    并回车。第五步:在数值下面单击右键--断点----硬件访问---WORD。第六步:按F9运行来到断点。第七步:然后在按F8单步向下走,注意:一个大跳转就来到
ESP定理手动脱壳
最新发布
2301_81223471的博客
03-15 830
本人还是一个正在摸索的小白,可能会有说错的地方,请大家多加指点!本人这篇文章可以让大家了解如何快速的过掉简单的壳,并没有讲解壳的执行流程等知识。使用ESP定律脱壳之前 ,我们要先知道什么是ESP定律ESP是汇编中的栈顶寄存器,存放着栈顶的地址,栈顶和栈底有一个特性,那就是堆栈平衡,尤其是在调用函数的时候表示的尤为明显。
利用ESP定律进行脱壳 ——合天网安实验室学习笔记
weixin_42582241的博客
03-17 1240
实验链接 通过本实验理解ESP原理的操作机理,并掌握使用ESP原理进行脱壳的流程。 链接:http://www.hetianlab.com/expc.do?ce=ec372be3-7a24-4309-838d-92dc0e83869b 实验简介 实验所属系列: CTF竞赛 实验对象: 本科/专科信息安全专业 相关课程及专业: Windows编程,C语言,汇编语言 实验类别: 实践实验类 预备知识 ...
破解入门(五)-----实战"ESP定律法"脱壳
系统运维
06-10 688
ESP定律法的步骤 ESP定理脱壳(ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了!) (1)开始就点F8,注意观察OD右上角的寄存器中ESP有没突现(变成红色)(这只是一 般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值) (2)在命令行下:ddXXXXXXXX(指在当前代码中的ESP地址,或者是hrXXXXXXXX), ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值