[求助][讨论]FLY大大请来-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助][讨论]FLY大大请来

发表于: 2005-7-26 14:05 3743

[求助][讨论]FLY大大请来

amanichen

2005-7-26 14:05

3743

ESP定理脱壳（ESP在OD的寄存器中，我们只要在命令行下ESP的硬件访问断点，就会一下来到程序的OEP了！）
1.开始就点F8，注意观察OD右上角的寄存器中ESP有没出现。
2.在命令行下：dd 0012FFA4(指在当前代码中的ESP地址)，按回车！
3.选种下断的地址，下硬件访问WORD断点。
4.按一下F9运行程序，直接来到了跳转处，按下F8，到达程序OEP，脱壳

怎么看ESP有没有出现，，能解释一下ESP定理到底是怎么回事吗

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・0

免费・0

支持

最新回复 (2)
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 2 楼简单说是压缩壳的时候用，就是看到pushad，pushfd那就可以用了水平不济，具体就让fly大侠给你说吧 2005-7-26 14:12 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 3 楼 1、遵守论坛规则，勿点名 2、论坛搜索 ESP定律 2005-7-26 14:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

amanichen

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 2 楼简单说是压缩壳的时候用，就是看到pushad，pushfd那就可以用了水平不济，具体就让fly大侠给你说吧 2005-7-26 14:12 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 3 楼 1、遵守论坛规则，勿点名 2、论坛搜索 ESP定律 2005-7-26 14:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复