用ESP定律无法脱掉ASPack 2.12的壳-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
思远软件雪币： 88 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 50 回帖 320 粉丝 0 关注私信	思远软件 2 楼 F7一下，再用ESP 2013-9-1 12:55 0
leasr 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	leasr 3 楼感谢回复，不过F7之后ESP仍然等于0012FF6C 2013-9-1 14:04 0
司中雪币： 242 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 45 粉丝 0 关注私信	司中 4 楼不用管内存里的值，照旧下，按教程走就对了，到了OEP乱码的话，右键分析删除扫描分析，再Crtl+A就对了，你是在Win7下吧，内存显示跟XP不一样很正常，不过思路手法通用 2013-9-1 18:03 0
Einsbing 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 128 粉丝 1 关注私信	Einsbing 5 楼 CTRL+F试试这个特征代码： lods word ptr ds:[esi] stos word ptr es:[edi] 如果找到，就离OEP不远了 2013-9-1 18:10 0
leasr 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	leasr 6 楼感谢回复，的确用的是win7系统。教程里面讲的是在跟随了数据窗口后，里面有值，就可以下断点，然后找OEP了，但是我自己做时ESP里面的值是0012FF6C，根据教程，在数据窗口中跟随，然后我发现那边的数值全部都是00 00 00 00，就是向上面的图一样的，根本无法下断 2013-9-1 18:14 0
leasr 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	leasr 7 楼 [QUOTE=Einsbing;1217022]CTRL+F试试这个特征代码： lods word ptr ds:[esi] stos word ptr es:[edi] 如果找到，就离OEP不远了[/QUOTE] 感谢，其实我已经用内存镜像断点法找到OEP了，我只是不理解，为什么我不可以像教程里面一样用ESP定律来找OEP呢, 我其实是怕我自己乱搞，改了OD的一些设置或者什么的 2013-9-1 18:16 0
蜘蛛超人雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 11 粉丝 0 关注私信	蜘蛛超人 8 楼是否方便提供试炼程序 2013-9-3 10:35 0
向往星空雪币： 88 活跃值： (335) 能力值： ( LV4，RANK：55 ) 在线值：发帖 16 回帖 127 粉丝 0 关注私信	向往星空 1 9 楼 pushad后，里面的值是edi的值，也就是零啊。看来你没有理解这个脱壳方法的原理，壳代码执行的时候，先要保存程序自己原来的状态，这里也就是pushad（恢复对应popad）保存各个寄存器的值，这样壳代码在结束后，要恢复原来的状态，正是这个道理，才有了esp定律找入口点的方法。这里popad的时候，肯定要访问12ff6c这个内存地址,下个内存访问断点也就无可厚非了，至于楼主说是00000000无法下断点，楼主试过没有？下内存断点，与里面的值好像没有关系吧，要不然就是楼主的od有问题 2013-9-9 15:15 0
leasr 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	leasr 10 楼我还以为我的帖子沉了，听了你说的我才理解了脱壳的原理，感谢。哦，YES，你是对的，兄弟，我重新试了一下，原来真的可以下断，结果OEP还是原来的，感谢啊，问题解决了，呵呵我还是太小白了 2013-9-9 22:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
思远软件雪币： 88 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 50 回帖 320 粉丝 0 关注私信	思远软件 2 楼 F7一下，再用ESP 2013-9-1 12:55 0
leasr 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	leasr 3 楼感谢回复，不过F7之后ESP仍然等于0012FF6C 2013-9-1 14:04 0
司中雪币： 242 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 45 粉丝 0 关注私信	司中 4 楼不用管内存里的值，照旧下，按教程走就对了，到了OEP乱码的话，右键分析删除扫描分析，再Crtl+A就对了，你是在Win7下吧，内存显示跟XP不一样很正常，不过思路手法通用 2013-9-1 18:03 0
Einsbing 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 128 粉丝 1 关注私信	Einsbing 5 楼 CTRL+F试试这个特征代码： lods word ptr ds:[esi] stos word ptr es:[edi] 如果找到，就离OEP不远了 2013-9-1 18:10 0
leasr 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	leasr 6 楼感谢回复，的确用的是win7系统。教程里面讲的是在跟随了数据窗口后，里面有值，就可以下断点，然后找OEP了，但是我自己做时ESP里面的值是0012FF6C，根据教程，在数据窗口中跟随，然后我发现那边的数值全部都是00 00 00 00，就是向上面的图一样的，根本无法下断 2013-9-1 18:14 0
leasr 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	leasr 7 楼 [QUOTE=Einsbing;1217022]CTRL+F试试这个特征代码： lods word ptr ds:[esi] stos word ptr es:[edi] 如果找到，就离OEP不远了[/QUOTE] 感谢，其实我已经用内存镜像断点法找到OEP了，我只是不理解，为什么我不可以像教程里面一样用ESP定律来找OEP呢, 我其实是怕我自己乱搞，改了OD的一些设置或者什么的 2013-9-1 18:16 0
蜘蛛超人雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 11 粉丝 0 关注私信	蜘蛛超人 8 楼是否方便提供试炼程序 2013-9-3 10:35 0
向往星空雪币： 88 活跃值： (335) 能力值： ( LV4，RANK：55 ) 在线值：发帖 16 回帖 127 粉丝 0 关注私信	向往星空 1 9 楼 pushad后，里面的值是edi的值，也就是零啊。看来你没有理解这个脱壳方法的原理，壳代码执行的时候，先要保存程序自己原来的状态，这里也就是pushad（恢复对应popad）保存各个寄存器的值，这样壳代码在结束后，要恢复原来的状态，正是这个道理，才有了esp定律找入口点的方法。这里popad的时候，肯定要访问12ff6c这个内存地址,下个内存访问断点也就无可厚非了，至于楼主说是00000000无法下断点，楼主试过没有？下内存断点，与里面的值好像没有关系吧，要不然就是楼主的od有问题 2013-9-9 15:15 0
leasr 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	leasr 10 楼我还以为我的帖子沉了，听了你说的我才理解了脱壳的原理，感谢。哦，YES，你是对的，兄弟，我重新试了一下，原来真的可以下断，结果OEP还是原来的，感谢啊，问题解决了，呵呵我还是太小白了 2013-9-9 22:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复