[原创]ESP定律脱壳 UPX-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [原创]ESP定律脱壳 UPX 0.00雪花

发表于: 2010-3-2 10:15 2371

[旧帖] [原创]ESP定律脱壳 UPX 0.00雪花

worms

2010-3-2 10:15

2371

我们来脱MYCCL得壳子。首先我们查壳
PEID  查壳结果：UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

然后OD载入程序。我们看到

00553830 >  60             PUSHAD
00553831 BE 00C04D00    MOV ESI,MyCCL.004DC000       F8运行到此处
00553836 8DBE 0050F2FF LEA EDI,DWORD PTR DS:[ESI+FFF25000]
0055383C 57             PUSH EDI
0055383D 83CD FF       OR EBP,FFFFFFFF
00553840 EB 10          JMP SHORT MyCCL.00553852

然后我们看寄存器：
EAX 00000000
ECX 0012FFB0
EDX 7C92E4F4 ntdll.KiFastSystemCallRet
EBX 7FFDA000
ESP 0012FFC4  这里就是要用的了
EBP 0012FFF0
ESI FFFFFFFF
EDI 7C809AD0 kernel32.7C809AD0
EIP 00553830 MyCCL.<模块入口点>

我们利用的是ESP定律  。ESP定律就好比说一个下水管道一头进水一头就是出水了。如果不出的话可向而知可能发生溢出了。。。呵呵。比方啊比方。就是对应的
ESP 0012FFC4点击右键  点击数据窗口跟随  然后我们在看数据窗口啊

0012FFC4  67 70 81 7C D0 9A 80 7C FF FF FF FF 00 A0 FD 7F  gp亅袣€|.狚
0012FFD4  ED C6 54 80 C8 FF 12 00 20 80 80 82 FF FF FF FF  砥T€?. €€?
0012FFE4  C0 9A 83 7C 70 70 81 7C 00 00 00 00 00 00 00 00  罋億pp亅........
0012FFF4  00 00 00 00 30 38 55 00 00 00 00 00             ....08U.....

                              

主要是上面红色的哦。你看ESP是不是跟数据窗口第一行对应啊。然后第一组那就是我们的字了。我们算中第一个组67 70 81 7C 然后右击  断点--硬件访问-- 字  这样拿我们就在我们所选的那个67 70 81 7C下了一个断点了哦。也就是说咱们在那个入栈的对应地方出栈下了断点了。

然后我们F9运行我们就到了出栈那里自动的停了下来也就是说硬件断点生效了。我们会看到到了这里：
00553993  - E9 946AF7FF    JMP MyCCL.004CA42C
00553998 B0 39          MOV AL,39
0055399A 55             PUSH EBP
0055399B 00C0          ADD AL,AL

然后我们在F8向下走就走出了我们的迷宫壳子了。出了迷宫就看到了大草原和花姑娘了哈哈。F8会到达：
004CA42C 55             PUSH EBP  OEP了哦
004CA42D 8BEC          MOV EBP,ESP
004CA42F 83C4 F0       ADD ESP,-10
004CA432 53             PUSH EBX

然后我们用OD带的ollydump脱我们的壳子了  脱完了之后PEID查看  居然是  Borland Delphi 6.0 - 7.0

运行下子哈。OK成功

希望再次给我个邀请。上次我那个好hackerzues的邀请过期了。没注册上。现在换个号用了。谢谢看雪。嘻嘻

修正了。谢谢6楼。哈哈。太粗心了

[课程]FART 脱壳王！加量不加价！FART作者讲授！

上传的附件：

MyCCL.rar （477.30kb，28次下载）

收藏・1

免费・0

支持

最新回复 (22)
ftbreed 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	ftbreed 2 楼第一次回帖，潜水好多天。感觉“ESP定律”并不是万能的，要是那样的话，壳还加什么呀。可能是我学的还是太浅，没弄的太明白。至少我遇到的几个脱不下来，很伤自尊呀。还得慢慢学。（有不符合版规的话，请版主告知，虽然30道题看了半天，也难免有没记住的地方） 2010-3-3 09:26 0
爱鸟雪币： 245 活跃值： (93) 能力值： ( LV6，RANK：80 ) 在线值：发帖 21 回帖 318 粉丝 1 关注私信	爱鸟 1 3 楼 ESP可以轰掉大部分的压缩壳和一部分加密壳不过现在用这些壳加密的软件少多了....... 2010-3-3 12:58 0
wangyuchen 雪币： 90 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 66 粉丝 0 关注私信	wangyuchen 4 楼学习了，谢谢分享了，谢谢 2010-3-3 14:53 0
dieyushi 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	dieyushi 5 楼谢谢分享，学习了 2010-3-5 14:12 0
珂珂雪币： 41 活跃值： (35) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	珂珂 1 6 楼楼主好像有点笔误呀，单步到00553831 BE 00C04D00 MOV ESI,MyCCL.004DC000时，ESP里的值应该是0012FFA4呀 2010-3-5 14:29 0
winggone 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	winggone 7 楼学习了，谢谢 2010-3-5 16:30 0
追燕苍鹰雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	追燕苍鹰 8 楼不懂了，继续潜水看文章。 2010-4-22 14:41 0
lazze 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	lazze 9 楼好不容易，看到了点东西，想找回帖的地方没找到，不知道这发的对不对，还是没看懂esp 继续潜水吧 2010-4-22 16:44 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 139 关注私信	熊猫正正 9 10 楼 ESP定律真的很好用，呵呵！ 2010-4-22 18:12 0
moviebat 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 175 粉丝 0 关注私信	moviebat 11 楼看懂了，希望能想楼主一样强 2010-4-22 21:33 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 12 楼这个方法确实很好，我一般用下ESP-4的硬件断点，在最后一次中断时清硬件中断，然后在CODE段开始下断，直接到站。用到找Themida之类壳的伪OEP地址也能用这个方法。对于UPX这类壳，下了断点就直接到站了。 2010-4-22 23:10 0
dthyjh 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 61 粉丝 0 关注私信	dthyjh 13 楼哪里有没有壳的脱壳软件 2010-4-23 00:45 0
TangFlying 雪币： 48 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 26 粉丝 0 关注私信	TangFlying 14 楼搞个esp定律脱壳,就可以得到邀请码了?这未免太简单了吧~~ 2010-4-23 00:46 0
implay 雪币： 226 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 54 粉丝 0 关注私信	implay 15 楼 esp定律不错啊，当然不是万能的啦 2010-4-25 14:39 0
炎SKY 雪币： 300 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	炎SKY 16 楼又有一个学习脱壳的例子. 2010-4-25 20:22 0
过分耀眼雪币： 231 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 1 关注私信	过分耀眼 17 楼呵呵·这样就发邀请码。不是吧· 2010-5-23 20:02 0
chinasmu 雪币： 6048 活跃值： (3125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 201 粉丝 2 关注私信	chinasmu 18 楼注意，楼主已经是正式会员了这是交流贴 2010-5-23 20:06 0
麟殇の雪雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 60 粉丝 0 关注私信	麟殇の雪 19 楼呵呵比较浅显易懂了 2010-5-23 20:19 0
roa 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 0 关注私信	roa 20 楼支持楼主一个，不错。 2010-5-23 23:58 0
晕仙同志雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 65 粉丝 0 关注私信	晕仙同志 21 楼搞个esp定律脱壳,就可以得到邀请码了?这未免太简单了吧~~ 我觉得但也是这位仁兄说的非常对 2010-5-24 09:41 0
qiqi七三二雪币： 407 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 65 粉丝 0 关注私信	qiqi七三二 22 楼为了学习，留名占坐 2010-5-24 11:28 0
victoryf 雪币： 285 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 69 粉丝 0 关注私信	victoryf 23 楼很常用的定律，不过这个要邀请码有点难度~ 2010-5-24 11:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

worms

发帖

回帖

RANK

关注

私信

他的文章

[讨论]这个汇编方式科学吗 5771
[原创]优酷 XSS 5892

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
ftbreed 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	ftbreed 2 楼第一次回帖，潜水好多天。感觉“ESP定律”并不是万能的，要是那样的话，壳还加什么呀。可能是我学的还是太浅，没弄的太明白。至少我遇到的几个脱不下来，很伤自尊呀。还得慢慢学。（有不符合版规的话，请版主告知，虽然30道题看了半天，也难免有没记住的地方） 2010-3-3 09:26 0
爱鸟雪币： 245 活跃值： (93) 能力值： ( LV6，RANK：80 ) 在线值：发帖 21 回帖 318 粉丝 1 关注私信	爱鸟 1 3 楼 ESP可以轰掉大部分的压缩壳和一部分加密壳不过现在用这些壳加密的软件少多了....... 2010-3-3 12:58 0
wangyuchen 雪币： 90 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 66 粉丝 0 关注私信	wangyuchen 4 楼学习了，谢谢分享了，谢谢 2010-3-3 14:53 0
dieyushi 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	dieyushi 5 楼谢谢分享，学习了 2010-3-5 14:12 0
珂珂雪币： 41 活跃值： (35) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	珂珂 1 6 楼楼主好像有点笔误呀，单步到00553831 BE 00C04D00 MOV ESI,MyCCL.004DC000时，ESP里的值应该是0012FFA4呀 2010-3-5 14:29 0
winggone 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	winggone 7 楼学习了，谢谢 2010-3-5 16:30 0
追燕苍鹰雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	追燕苍鹰 8 楼不懂了，继续潜水看文章。 2010-4-22 14:41 0
lazze 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	lazze 9 楼好不容易，看到了点东西，想找回帖的地方没找到，不知道这发的对不对，还是没看懂esp 继续潜水吧 2010-4-22 16:44 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 139 关注私信	熊猫正正 9 10 楼 ESP定律真的很好用，呵呵！ 2010-4-22 18:12 0
moviebat 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 175 粉丝 0 关注私信	moviebat 11 楼看懂了，希望能想楼主一样强 2010-4-22 21:33 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 12 楼这个方法确实很好，我一般用下ESP-4的硬件断点，在最后一次中断时清硬件中断，然后在CODE段开始下断，直接到站。用到找Themida之类壳的伪OEP地址也能用这个方法。对于UPX这类壳，下了断点就直接到站了。 2010-4-22 23:10 0
dthyjh 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 61 粉丝 0 关注私信	dthyjh 13 楼哪里有没有壳的脱壳软件 2010-4-23 00:45 0
TangFlying 雪币： 48 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 26 粉丝 0 关注私信	TangFlying 14 楼搞个esp定律脱壳,就可以得到邀请码了?这未免太简单了吧~~ 2010-4-23 00:46 0
implay 雪币： 226 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 54 粉丝 0 关注私信	implay 15 楼 esp定律不错啊，当然不是万能的啦 2010-4-25 14:39 0
炎SKY 雪币： 300 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	炎SKY 16 楼又有一个学习脱壳的例子. 2010-4-25 20:22 0
过分耀眼雪币： 231 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 1 关注私信	过分耀眼 17 楼呵呵·这样就发邀请码。不是吧· 2010-5-23 20:02 0
chinasmu 雪币： 6048 活跃值： (3125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 201 粉丝 2 关注私信	chinasmu 18 楼注意，楼主已经是正式会员了这是交流贴 2010-5-23 20:06 0
麟殇の雪雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 60 粉丝 0 关注私信	麟殇の雪 19 楼呵呵比较浅显易懂了 2010-5-23 20:19 0
roa 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 0 关注私信	roa 20 楼支持楼主一个，不错。 2010-5-23 23:58 0
晕仙同志雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 65 粉丝 0 关注私信	晕仙同志 21 楼搞个esp定律脱壳,就可以得到邀请码了?这未免太简单了吧~~ 我觉得但也是这位仁兄说的非常对 2010-5-24 09:41 0
qiqi七三二雪币： 407 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 65 粉丝 0 关注私信	qiqi七三二 22 楼为了学习，留名占坐 2010-5-24 11:28 0
victoryf 雪币： 285 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 69 粉丝 0 关注私信	victoryf 23 楼很常用的定律，不过这个要邀请码有点难度~ 2010-5-24 11:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [原创]ESP定律 脱壳 UPX 0.00雪花

[旧帖] [原创]ESP定律脱壳 UPX 0.00雪花