首页
社区
课程
招聘
发布一个脚本:获取加壳程序OEP的OllyHtml脚本
发表于: 2006-8-4 17:30 6846

发布一个脚本:获取加壳程序OEP的OllyHtml脚本

2006-8-4 17:30
6846

欢迎使用并提改进建议:)

适用于最新版本的OllyHtml插件,脚本在插件菜单OllyHtml=>Scripts窗口里有链接。

基本原理:
方法一:二次内存断点
一次内存断点设在数据段,第二次设在代码段。
方法二:第N次异常+代码访问断点+模拟跟踪
1、忽略前N-1次异常,第N次异常时设代码访问断点并让程序处理异常;
2、代码访问断点断下后,如果不在OEP出现的代码段范围,则模拟手工跟踪,
在任何离开被调试模块前重设代码访问断点;如果断下时EIP已经是OEP搜索范围,则认为EIP是OEP;
方法三:第N次异常+模拟手工跟踪
基本上同方法二,但不使用代码访问断点,在EIP离开被调试模块后用alt+f9返回程序领空(好象不太好使,经常回不来,希望高手指点)
方法四:条件跟踪
就是用 tc eip<OEP范围结束地址 执行程序。

偶再传一份到本地:


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 7
支持
分享
最新回复 (8)
雪    币: 47147
活跃值: (20380)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
2
试了一个ASProtect 2.1x SKE的壳,不断重复点击“跟踪到OEP”和“执行直到非OEP段”按钮,还真到了OEP附近。有点好玩。;)

再试了tElock,成功。
PECompact不成功,直接报不是壳。

OllyHTML插件可到dreaman主页下载:
http://dreaman.haolinju.net/
2006-8-4 18:00
0
雪    币: 200
活跃值: (21)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
支持,下载中,试试看...
2006-8-4 18:33
0
雪    币: 1316
活跃值: (512)
能力值: ( LV12,RANK:450 )
在线值:
发帖
回帖
粉丝
4
pecompace压缩的程序只有2个段了,脚本不知道如何区分壳代码与非壳代码了。

得再想点办法了,
2006-8-4 19:06
0
雪    币: 152
活跃值: (28)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
谢谢了!看看怎么用
2006-8-4 23:19
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
这个真强!!
2006-8-5 09:15
0
雪    币: 175
活跃值: (2491)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
下来试试。
2006-8-5 10:05
0
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
下载,试试看...
2006-8-5 23:46
0
雪    币: 370
活跃值: (15)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
9
最初由 dreaman 发布
欢迎使用并提改进建议:)

适用于最新版本的OllyHtml插件,脚本在插件菜单OllyHtml=>Scripts窗口里有链接。

基本原理:
........

早注意到这个新颖的插件,只是例子不多,看原理叫人犯晕,一直当古董收藏,希望有更多实例讲解以作推广
2006-8-6 00:31
0
游客
登录 | 注册 方可回帖
返回
//