[原创]秒入OEP-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]秒入OEP

发表于: 2011-3-3 14:03 12924

[原创]秒入OEP

Mx￠Xgt

2011-3-3 14:03

12924

我不知道有没有人发现这个方法(阅历不太丰富,不知道有没有这个方法),但至少我发现时非常兴奋,也试了不少壳,包括一些猛壳,都可以用这个方法快速找到OEP,我想把这个技巧独自享用,然后比别人快一步的找到OEP,好炫耀自己多厉害,但最后还是决定分享给大家,拿着宝剑就说自己是英雄没什么了不起,大家一起进步才有意义.

写这篇烂文的启发是在2005年一个大牛的文章技巧上得到的:http://bbs.pediy.com/showthread.php?threadid=10548(不过没看完)

后来我就想,既然程序从OEP下面任意一个CALL进入后,暂时性的一去不返(进入窗口循环什么的),但他的返回地址还是会在堆栈中,而这个返回地址就是和OEP在同一平面上,往上翻就能找到OEP了!

下面我以ZProtect.1.4.9.0.Preview.2的壳为例子

首先临时的给一个C++程序加了ZProtect壳

然后OD载入

直接运行,然后暂停,看堆栈,从最下面往上找,是代码段的返回地址都看一下

然后就发现:

删除分析

然后代码往上翻,就到OEP了,然后打开没加密过的程序,对比下就能确认

当然这个方法不是万能的,大家只要明白原理,就知道对哪些壳管用,哪些不管用,别要到时候来问我,为什么这个壳不行.....

[课程]Android-CTF解题方法汇总！

上传的附件：

1.jpg （41.30kb，975次下载）
2.jpg （68.18kb，974次下载）
3.jpg （19.87kb，974次下载）
4.jpg （37.09kb，972次下载）
5.jpg （80.73kb，973次下载）
6.jpg （261.04kb，988次下载）

收藏・15

免费・7

支持

最新回复 (18)
笨虫虫雪币： 226 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 73 粉丝 0 关注私信	笨虫虫 2 楼支持你一下。东西不错 2011-3-3 14:21 0
广海混沌雪币： 220 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 272 粉丝 1 关注私信	广海混沌 3 楼呵呵表示支持。 2011-3-3 15:03 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 4 楼早就知道了~~~不过还是感谢你的分享~ 2011-3-3 15:38 0
kkmylove 雪币： 338 活跃值： (103) 能力值： ( LV7，RANK：110 ) 在线值：发帖 24 回帖 290 粉丝 2 关注私信	kkmylove 2 5 楼学习了支持 2011-3-3 15:42 0
yjd 雪币： 2882 活跃值： (1245) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 778 粉丝 1 关注私信	yjd 6 楼学习了^_^。 2011-3-3 18:32 0
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 7 楼让我想起一句话:"大道至简" 2011-3-3 18:41 0
nbrspx 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 67 粉丝 0 关注私信	nbrspx 8 楼学习了。好好研究一下。 2011-3-3 19:46 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 9 楼好好好好好好好好 2011-3-3 20:05 0
adys 雪币： 1799 活跃值： (1329) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 52 粉丝 0 关注私信	adys 10 楼太适合现在的我来。。。呵呵感谢分享 2011-3-3 20:53 0
suredwang 雪币： 380 活跃值： (103) 能力值： ( LV7，RANK：100 ) 在线值：发帖 7 回帖 134 粉丝 0 关注私信	suredwang 2 11 楼思路不错,学习了 2011-3-3 22:08 0
Ｚg真理雪币： 87 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 1 关注私信	Ｚg真理 12 楼重剑无锋，大巧不工…… 2011-3-3 22:38 0
renwoxiao 雪币： 318 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 100 粉丝 0 关注私信	renwoxiao 1 13 楼非常的强悍！！！！！！1 2011-3-3 23:13 0
今夕望月雪币： 108 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 135 粉丝 1 关注私信	今夕望月 14 楼学习了，明白了 2011-3-3 23:19 0
haowolf 雪币： 138 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 36 粉丝 1 关注私信	haowolf 15 楼还是老老实实一步一步找比较好 2011-3-4 00:06 0
zphdt 雪币： 166 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 173 粉丝 0 关注私信	zphdt 16 楼太强大了。不得不服。 2011-3-4 08:20 0
leeonegor 雪币： 154 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 108 粉丝 0 关注私信	leeonegor 17 楼 lz头像很有爱 2011-3-4 08:27 0
chenzuoz 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 37 粉丝 0 关注私信	chenzuoz 18 楼能与大家分享，说明你拥有开阔的胸怀！值得敬佩！ 2011-3-4 09:55 0
appleibm 雪币： 139 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 84 粉丝 0 关注私信	appleibm 19 楼这个应该算是找OEP的字典爆破法吧，不过碰到大型软件或者变态壳，例如VMP，给你无数个CALL，估计效率就。。。。。想死的心都有！ 2011-3-4 17:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Mx￠Xgt

发帖

583

回帖

360

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
笨虫虫雪币： 226 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 73 粉丝 0 关注私信	笨虫虫 2 楼支持你一下。东西不错 2011-3-3 14:21 0
广海混沌雪币： 220 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 272 粉丝 1 关注私信	广海混沌 3 楼呵呵表示支持。 2011-3-3 15:03 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 4 楼早就知道了~~~不过还是感谢你的分享~ 2011-3-3 15:38 0
kkmylove 雪币： 338 活跃值： (103) 能力值： ( LV7，RANK：110 ) 在线值：发帖 24 回帖 290 粉丝 2 关注私信	kkmylove 2 5 楼学习了支持 2011-3-3 15:42 0
yjd 雪币： 2882 活跃值： (1245) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 778 粉丝 1 关注私信	yjd 6 楼学习了^_^。 2011-3-3 18:32 0
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 7 楼让我想起一句话:"大道至简" 2011-3-3 18:41 0
nbrspx 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 67 粉丝 0 关注私信	nbrspx 8 楼学习了。好好研究一下。 2011-3-3 19:46 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 9 楼好好好好好好好好 2011-3-3 20:05 0
adys 雪币： 1799 活跃值： (1329) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 52 粉丝 0 关注私信	adys 10 楼太适合现在的我来。。。呵呵感谢分享 2011-3-3 20:53 0
suredwang 雪币： 380 活跃值： (103) 能力值： ( LV7，RANK：100 ) 在线值：发帖 7 回帖 134 粉丝 0 关注私信	suredwang 2 11 楼思路不错,学习了 2011-3-3 22:08 0
Ｚg真理雪币： 87 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 1 关注私信	Ｚg真理 12 楼重剑无锋，大巧不工…… 2011-3-3 22:38 0
renwoxiao 雪币： 318 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 100 粉丝 0 关注私信	renwoxiao 1 13 楼非常的强悍！！！！！！1 2011-3-3 23:13 0
今夕望月雪币： 108 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 135 粉丝 1 关注私信	今夕望月 14 楼学习了，明白了 2011-3-3 23:19 0
haowolf 雪币： 138 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 36 粉丝 1 关注私信	haowolf 15 楼还是老老实实一步一步找比较好 2011-3-4 00:06 0
zphdt 雪币： 166 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 173 粉丝 0 关注私信	zphdt 16 楼太强大了。不得不服。 2011-3-4 08:20 0
leeonegor 雪币： 154 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 108 粉丝 0 关注私信	leeonegor 17 楼 lz头像很有爱 2011-3-4 08:27 0
chenzuoz 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 37 粉丝 0 关注私信	chenzuoz 18 楼能与大家分享，说明你拥有开阔的胸怀！值得敬佩！ 2011-3-4 09:55 0
appleibm 雪币： 139 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 84 粉丝 0 关注私信	appleibm 19 楼这个应该算是找OEP的字典爆破法吧，不过碰到大型软件或者变态壳，例如VMP，给你无数个CALL，估计效率就。。。。。想死的心都有！ 2011-3-4 17:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复