首页
社区
课程
招聘
ESP 脱壳 个人小节
发表于: 2004-8-31 09:09 9568

ESP 脱壳 个人小节

2004-8-31 09:09
9568

我学 ESP 定律也有 0.5 天了
总结了点东西想给大家分享~~~~~

关于 ESP 脱壳找 EOP

ESP 定律:就是加载程序后 F8单步运行 第一个变化的 ESP 值,右击寄存器上 ESP 在转存中跟随,在内存地址上 选中前四个,右击,断点,硬件访问,word F9,中断,....返回。

(D 12ffc0 选四个下硬件写入 dword) 我的其它小记

1. Aspcak  方法:
ESP+6175(Sb) POPAD JMP

2. UPX     方法:
S 0000 The First JMP
变种
ESP+S (60E9)
0040EA0E    60              PUSHAD
0040EA0F  - E9 B826FFFF     JMP chap702.004010CC

3. PECompact 1.68 - 1.84
ESP
Or 注意 第一个 PUSH XXXX   XXXX+基址(400000)=EOP

4. EZIP 1.0 方法:
ESP

5. JDPack 1.x / JDProtect 0.9
ESP+S(6150)

0040E3F8    894424 1C       MOV DWORD PTR SS:[ESP+1C],EAX
0040E3FC    61              POPAD
0040E3FD    50              PUSH EAX                       
0040E3FE    C3              RETN
0040E3FF    23E8            AND EBP,EAX

6. PE Pack 1.0
ESP+S (61ff)
0040D26F    61              POPAD
0040D270    FFE0            JMP EAX

7. WWPack32 1.x
ESP

8. PEDiminisher 0.1
ESP+S(FFE0) or S(JMP EAX)
0041708D    5D              POP EBP
0041708E    5F              POP EDI
0041708F    5E              POP ESI
00417090    5A              POP EDX
00417091    59              POP ECX
00417092    5B              POP EBX
00417093  - FFE0            JMP EAX   

9. DxPACK V0.86
ESP+S(JMP EAX or 61ffe0)
0040D163    61              POPAD
0040D164  - FFE0            JMP EAX   

10. PKLITE32 1.1
F8 5 次来到 EOP

11. 32Lite 0.03a
ESP 往下找到
    PUSH EAX
       50c3 or PUSH EAX
       003780F4    50              PUSH EAX
       003780F5    C3              RETN
来到
       0041C53C    FF96 84B50100   CALL DWORD PTR DS:[ESI+1B584]
       0041C542    61              POPAD
       0041C543  - E9 0848FFFF     JMP QEDITOR.00410D50
注意:先用 LoadPE 转存 Olldbg 加载的那个加壳文件,退出,运行加壳后的文件,RecImport 修正 EOP 修复抓取文件到 DUMP 的那个文件。

12. VGCrypt PE Encryptor V0.75
ESP 安 F9(断点开始),地址-1=EOP

13. PC Shrinker 0.71
ESP
00142BA8    BA CC104000     MOV EDX,4010CC
00142BAD    FFE2            JMP EDX

14. Petite2.2
1. D 12ffa0
   3 下 F9
   来到 EOP=地址-1
2. ESP 两下 同上

15. EXE Stealth2.72
ESP+S()

0040D49F 8B9D B62F4000 MOV EBX,DWORD PTR SS:[EBP+402FB6]
0040D4A5 039D BA2F4000 ADD EBX,DWORD PTR SS:[EBP+402FBA]
将堆栈中值10cc+400000=4010cc 得出记事本的Oep. 加壳软件的oep.
0040D4AB C1CB 07 ROR EBX,7

注明:
例子: ESP+S (60E9)
后面 S 是搜索的意思,里面为搜索内容,可能是 Ctrl+F 的也可能是 Ctrl+B
反正大家是聪明人 一看就知道了~・
呵呵~

Cater 华夏
2004.08.30


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 7
支持
分享
最新回复 (17)
雪    币: 109
活跃值: (498)
能力值: ( LV12,RANK:220 )
在线值:
发帖
回帖
粉丝
2
我 看  Fly  的文章很多了
感觉 Fly 年龄不是很大哎~
估计还在上学,可是还是 高中生
大概 高二左右,可能还是 高一。

以上只是个人看文章得到的,可能不准确,只是为了啊?
告诉 Fly 我看他 的文章很认真,很细心霸了~~・・

呵呵~~~

我的 QQ:24882688
希望可以收到大家的指教~~・
2004-8-31 09:12
0
雪    币: 446
活跃值: (758)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
3
最初由 cater 发布
我 看 Fly 的文章很多了
感觉 Fly 年龄不是很大哎~
估计还在上学,可是还是 高中生
大概 高二左右,可能还是 高一。


说不定还是个 PLMM 哦,嘿嘿~!
:D :D
2004-8-31 09:18
0
雪    币: 109
活跃值: (498)
能力值: ( LV12,RANK:220 )
在线值:
发帖
回帖
粉丝
4
??????????????
我看不像~~~~~~~~~~
2004-8-31 09:19
0
雪    币: 392
活跃值: (909)
能力值: ( LV9,RANK:690 )
在线值:
发帖
回帖
粉丝
5
fly应该比forgot大多了:D
2004-8-31 10:53
0
雪    币: 109
活跃值: (498)
能力值: ( LV12,RANK:220 )
在线值:
发帖
回帖
粉丝
6
感觉 Forget 有些狡猾~~~~~・・
如果他要写壳的话
应该会写 那些 假冒什么 Xtreme-Protector 之类的壳~
你说对不??
2004-8-31 11:02
0
雪    币: 392
活跃值: (909)
能力值: ( LV9,RANK:690 )
在线值:
发帖
回帖
粉丝
7
最初由 cater 发布
感觉 Forget 有些狡猾~~~~~・・


小心你的ID:D
2004-8-31 11:06
0
雪    币: 242
活跃值: (42)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
进步好快啊!!!
2004-8-31 11:17
0
雪    币: 109
活跃值: (498)
能力值: ( LV12,RANK:220 )
在线值:
发帖
回帖
粉丝
9
那个啊??
2004-8-31 11:34
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
10
最初由 cyclotron 发布
fly应该比forgot大多了:D


我比较“老”了  
:D
2004-8-31 16:15
0
雪    币: 97697
活跃值: (200834)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
11
最初由 fly 发布



我比较“老”了
:D

年轻!
2004-8-31 18:06
0
雪    币: 212
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
最初由 fly 发布



我比较“老”了
:D

是说破龄吧!
2004-9-1 04:01
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
这种贴在验证其正确性以后可以考虑加入FAQ,Fly你认为呢?
2004-9-1 23:36
0
雪    币: 109
活跃值: (498)
能力值: ( LV12,RANK:220 )
在线值:
发帖
回帖
粉丝
14
我 说 Fly 小是有依据的
我看了他很多文章
fly

证据一:

时间:    2003-12-07 周日, 上午1:07    标题: LiNSoN兄弟的 仙剑 壳系列 脱壳――XJ01000.EXE 主程序等   

--------------------------------------------------------------------------------

LiNSoN兄弟的 仙剑 V0.1000 脱壳――XJ01000.EXE 主程序
  
  

  
下载地址:  http://crack.zuasoft.com/ut/attach/2003/12/06/42440-PAL.rar  
软件大小:  11 KB

【软件简介】:LiNSoN 兄弟写的壳    牛!

【作者声明】:初学Crack,只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!

【调试环境】:WinXP、Ollydbg1.09、PEiD、LordPE、ImportREC

―――――――――――――――――――――――――――――――――  
【脱壳过程】:
           
         
   
哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪
哪                            仙剑 0.1000                             哪
哪                                 Coded By LiNSoN[linson@army.com]   哪
哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪

    仅此献给所有 仙剑奇侠传的Fans & Crackers.玩具一个,高手看罢莫笑.
   转眼就初三了 只叹人生,些些往事,亦成流水.也罢,还是学好数理化,走遍天下都不怕-_-;

看到证据了么??
我看文章够细吧~~~~~~~~~~~~~~
2004-9-2 14:46
0
雪    币: 5895
活跃值: (2717)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
错了  是LiNSoN转眼就初三了 !!
2004-9-2 16:01
0
雪    币: 212
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
呵呵~别人在讨论ESP定律,我们却对FLY的年龄感兴趣,这好象不对哟,来这看看我对ESP定律的理解
http://poptown.gamewan.com/bbs/dispbbs.asp?boardID=5&ID=170&page=1
2004-9-2 23:55
0
雪    币: 109
活跃值: (498)
能力值: ( LV12,RANK:220 )
在线值:
发帖
回帖
粉丝
17
哦!!!!!!
Sorry~~~~~~~
看错 ; 了~~~~~
还是你够细心 ~~~~~~~
2004-9-6 12:00
0
雪    币: 258
活跃值: (230)
能力值: ( LV12,RANK:770 )
在线值:
发帖
回帖
粉丝
18
很不错,ESP定律,赶紧藏起来・・・
・・・・・・・・・・・・
我感觉fly哥,forgot哥,都不错啊・・
2004-9-13 15:52
0
游客
登录 | 注册 方可回帖
返回
//