[求助]问个弱智问题,找到 OEP 用来干嘛?-经典问答-看雪-安全社区|安全招聘|kanxue.com

[求助]问个弱智问题,找到 OEP 用来干嘛?

发表于: 2007-5-26 14:48 8100

[求助]问个弱智问题,找到 OEP 用来干嘛?

红警player

2007-5-26 14:48

8100

问个弱智问题,什么叫做从 OEP dump?

一般的说:
脱壳的时候步骤首先就是找 OEP, 然后再 dump 内存,最后重建输入表
从 OEP 开始 dump 就是真实的原程序.

既然是把内存中的代码转存为文件,那就得有初始地址和结束地址
可是我看到的入门帖里面说得都不太清楚,或者我理解能力不够,不管是 lordPE 还是什么 dump 插件,都不要求自己输入 OEP 的地址,我就糊涂了,我们自己找到的 OEP 用来干嘛?

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・1

免费・0

支持

最新回复 (16)
凶财神雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 149 粉丝 0 关注私信	凶财神 2 楼好累呀..那种无助啊... 2007-5-26 17:04 0
zztsf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	zztsf 3 楼找OEP用来脱壳 2007-5-26 17:16 0
sdc 雪币： 5 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	sdc 4 楼加壳程序需要还原自己，当然在内存中了；一旦它运行到OEP的时候，也就是在内存中完全重现没加壳时候的状态了，这时候dump出来就是没加壳的程序了，长度不用你管，程序自己有定义的。大虾们见笑了，我乱说的。。。。。 2007-5-27 01:08 0
不死神鸟雪币： 9 活跃值： (142) 能力值： ( LV12，RANK：200 ) 在线值：发帖 105 回帖 757 粉丝 1 关注私信	不死神鸟 1 5 楼解释：OEP是软件的原始入口点 2007-5-27 06:43 0
JJJC 雪币： 141 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 310 粉丝 0 关注私信	JJJC 6 楼我的理解是: 无壳程序的内存: --------------(无壳程序的内存)---- MZ头程序code ... --------------(无壳程序的内存)---- 有壳程序的内存(解码前): --------------(有壳程序的内存)---- MZ头(加壳程序改过) 加密后的原程序code(重点) 解码code ... --------------(有壳程序的内存)---- 有壳程序的内存(解码后): --------------(有壳程序的内存)---- MZ头(加壳程序改过) 原程序code(重点) 解码code ... --------------(有壳程序的内存)---- 程序的"目录"就是"MZ头" 加壳程序在"MZ头"中除了"入口偏移"以外可能会改的是:"输入表""区段表" 这两个 lordPE 会修改好. 所以脱壳后程序的内存: --------------(脱壳后程序的内存)---- MZ头(脱壳程序改过) 原程序code(重点) 解码code(以没用) ... --------------(脱壳后程序的内存)---- OEP就是内存中(解码后)"原程序code"的内存地址代码长度保存在"MZ头"中(自己都晕了! ) 2007-5-27 10:52 0
LM苍蝇雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	LM苍蝇 7 楼呵呵学习学习 2007-5-27 11:27 0
kiddik 雪币： 215 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	kiddik 1 8 楼 “脱”就一个字 2007-5-27 13:48 0
xiehua 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 22 粉丝 0 关注私信	xiehua 9 楼可能就是在这种声音中长大........... 2007-5-27 15:51 0
红警player 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 67 粉丝 0 关注私信	红警player 10 楼 OK,其实我明白 OEP 是 original entry point 是程序真正的入口点可是从用来 dump 的程序和插件没让输入OEP的地址,那我要找它干嘛? 什么时候运行 dump 程序又有什么区别呢? 除非你得把你找到的 OEP 告诉它,让他从那开始 dump 可是lordPE就一个右键->完整dump,就完成了,那我OEP不就白找了? 2007-5-27 17:16 0
CCDebuger 雪币： 2506 活跃值： (1030) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 91 关注私信	CCDebuger 24 11 楼先看一下Lenus的这篇文章： http://bbs.pediy.com/showthread.php?threadid=17624 另外你dump的程序没修正OEP能运行吗？如果在importRec中采用自动查找输入表时没输入OEP能得到正确的输入表吗？如果是Delphi程序，让程序运行起来再dump，你看看bss段的数据是空的吗？如果是VC的程序，程序运行起来再dump，.data段的数据和从OEP开始dump一样吗？如果我是你，对这个有疑问，我就把一个程序分别从OEP处dump和让程序运行起来再dump，一比较两个dump后的文件不就明白了吗？遇到什么问题不是先问，先动手做一下，比你去问人而理解要深刻的多。 2007-5-27 18:36 0
红警player 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 67 粉丝 0 关注私信	红警player 12 楼正是由于看不懂,所以才问,有错吗?思考的不够确实是我的错,但我只是想少走一点弯路 "让我把他在oep处dump下来嘿嘿，dump下来才发现，图表都没有了。" 这是他的帖子里面的原话,那么怎么叫做"在oep处dump下来"?过程没说既然是教连dump是什么都不知道的人脱壳,这些细节的过程怎么就省略了呢? 我不是怪作者写得不够详细,而是我确实不知道 2007-5-27 19:22 0
sdc 雪币： 5 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	sdc 13 楼红警，你要注意点了，各个论坛学习的风气不一样，我就曾经被别人严重的批评过，还是语气再客气点吧。你要让程序运行到OEP，这样dump出来的才是程序“刚刚”脱完衣服的状态，才是我们需要的“脱过”的程序呀！并且在修复资源的时候也要oep，否则无法修复的。 2007-5-28 08:43 0
kanxue 雪币： 47147 活跃值： (20465) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 14 楼一般来说，建议到OEP再Dump，是因为这时原程序还没执行，一些环境变量还没初始化，此时Dump能保持程序主要结构和加壳前一至。当然如果你熟悉某种壳，并不一定要到OEP才Dump，例如Aspack，外壳将数据解压后，此时内存镜像和加壳前几乎一样，可以直接Dump。也就是说，建议到OEP处Dump是一个通则，能适用大部分情况。 2007-5-28 09:30 0
红警player 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 67 粉丝 0 关注私信	红警player 15 楼多谢各位,我继续努力...... 2007-5-29 23:08 0
JJJC 雪币： 141 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 310 粉丝 0 关注私信	JJJC 16 楼 OEP是一个很有用的东西,在楼上说了很多.我想起了它的另一个用途. 有不少软件都隐藏了自己的ASCII等关键字符 OD载入后,如果搜索ASCII什么都没有找到(非VB code 程序) 大家就F8单步跟进一个程序的CALL后再搜索ASCII 另一种在真正OEP之前添加了些东西,但还不是壳.(强度太小) (强烈同意11楼的意见:以后遇见这些问题先考虑自己理解,在看别人的理解.) 2007-6-2 21:18 0
不死神鸟雪币： 9 活跃值： (142) 能力值： ( LV12，RANK：200 ) 在线值：发帖 105 回帖 757 粉丝 1 关注私信	不死神鸟 1 17 楼脱壳。找到OEP就等于找到你家的门钥匙 2007-6-3 06:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

红警player

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
凶财神雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 149 粉丝 0 关注私信	凶财神 2 楼好累呀..那种无助啊... 2007-5-26 17:04 0
zztsf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	zztsf 3 楼找OEP用来脱壳 2007-5-26 17:16 0
sdc 雪币： 5 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	sdc 4 楼加壳程序需要还原自己，当然在内存中了；一旦它运行到OEP的时候，也就是在内存中完全重现没加壳时候的状态了，这时候dump出来就是没加壳的程序了，长度不用你管，程序自己有定义的。大虾们见笑了，我乱说的。。。。。 2007-5-27 01:08 0
不死神鸟雪币： 9 活跃值： (142) 能力值： ( LV12，RANK：200 ) 在线值：发帖 105 回帖 757 粉丝 1 关注私信	不死神鸟 1 5 楼解释：OEP是软件的原始入口点 2007-5-27 06:43 0
JJJC 雪币： 141 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 310 粉丝 0 关注私信	JJJC 6 楼我的理解是: 无壳程序的内存: --------------(无壳程序的内存)---- MZ头程序code ... --------------(无壳程序的内存)---- 有壳程序的内存(解码前): --------------(有壳程序的内存)---- MZ头(加壳程序改过) 加密后的原程序code(重点) 解码code ... --------------(有壳程序的内存)---- 有壳程序的内存(解码后): --------------(有壳程序的内存)---- MZ头(加壳程序改过) 原程序code(重点) 解码code ... --------------(有壳程序的内存)---- 程序的"目录"就是"MZ头" 加壳程序在"MZ头"中除了"入口偏移"以外可能会改的是:"输入表""区段表" 这两个 lordPE 会修改好. 所以脱壳后程序的内存: --------------(脱壳后程序的内存)---- MZ头(脱壳程序改过) 原程序code(重点) 解码code(以没用) ... --------------(脱壳后程序的内存)---- OEP就是内存中(解码后)"原程序code"的内存地址代码长度保存在"MZ头"中(自己都晕了! ) 2007-5-27 10:52 0
LM苍蝇雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	LM苍蝇 7 楼呵呵学习学习 2007-5-27 11:27 0
kiddik 雪币： 215 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	kiddik 1 8 楼 “脱”就一个字 2007-5-27 13:48 0
xiehua 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 22 粉丝 0 关注私信	xiehua 9 楼可能就是在这种声音中长大........... 2007-5-27 15:51 0
红警player 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 67 粉丝 0 关注私信	红警player 10 楼 OK,其实我明白 OEP 是 original entry point 是程序真正的入口点可是从用来 dump 的程序和插件没让输入OEP的地址,那我要找它干嘛? 什么时候运行 dump 程序又有什么区别呢? 除非你得把你找到的 OEP 告诉它,让他从那开始 dump 可是lordPE就一个右键->完整dump,就完成了,那我OEP不就白找了? 2007-5-27 17:16 0
CCDebuger 雪币： 2506 活跃值： (1030) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 91 关注私信	CCDebuger 24 11 楼先看一下Lenus的这篇文章： http://bbs.pediy.com/showthread.php?threadid=17624 另外你dump的程序没修正OEP能运行吗？如果在importRec中采用自动查找输入表时没输入OEP能得到正确的输入表吗？如果是Delphi程序，让程序运行起来再dump，你看看bss段的数据是空的吗？如果是VC的程序，程序运行起来再dump，.data段的数据和从OEP开始dump一样吗？如果我是你，对这个有疑问，我就把一个程序分别从OEP处dump和让程序运行起来再dump，一比较两个dump后的文件不就明白了吗？遇到什么问题不是先问，先动手做一下，比你去问人而理解要深刻的多。 2007-5-27 18:36 0
红警player 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 67 粉丝 0 关注私信	红警player 12 楼正是由于看不懂,所以才问,有错吗?思考的不够确实是我的错,但我只是想少走一点弯路 "让我把他在oep处dump下来嘿嘿，dump下来才发现，图表都没有了。" 这是他的帖子里面的原话,那么怎么叫做"在oep处dump下来"?过程没说既然是教连dump是什么都不知道的人脱壳,这些细节的过程怎么就省略了呢? 我不是怪作者写得不够详细,而是我确实不知道 2007-5-27 19:22 0
sdc 雪币： 5 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	sdc 13 楼红警，你要注意点了，各个论坛学习的风气不一样，我就曾经被别人严重的批评过，还是语气再客气点吧。你要让程序运行到OEP，这样dump出来的才是程序“刚刚”脱完衣服的状态，才是我们需要的“脱过”的程序呀！并且在修复资源的时候也要oep，否则无法修复的。 2007-5-28 08:43 0
kanxue 雪币： 47147 活跃值： (20465) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 14 楼一般来说，建议到OEP再Dump，是因为这时原程序还没执行，一些环境变量还没初始化，此时Dump能保持程序主要结构和加壳前一至。当然如果你熟悉某种壳，并不一定要到OEP才Dump，例如Aspack，外壳将数据解压后，此时内存镜像和加壳前几乎一样，可以直接Dump。也就是说，建议到OEP处Dump是一个通则，能适用大部分情况。 2007-5-28 09:30 0
红警player 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 67 粉丝 0 关注私信	红警player 15 楼多谢各位,我继续努力...... 2007-5-29 23:08 0
JJJC 雪币： 141 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 310 粉丝 0 关注私信	JJJC 16 楼 OEP是一个很有用的东西,在楼上说了很多.我想起了它的另一个用途. 有不少软件都隐藏了自己的ASCII等关键字符 OD载入后,如果搜索ASCII什么都没有找到(非VB code 程序) 大家就F8单步跟进一个程序的CALL后再搜索ASCII 另一种在真正OEP之前添加了些东西,但还不是壳.(强度太小) (强烈同意11楼的意见:以后遇见这些问题先考虑自己理解,在看别人的理解.) 2007-6-2 21:18 0
不死神鸟雪币： 9 活跃值： (142) 能力值： ( LV12，RANK：200 ) 在线值：发帖 105 回帖 757 粉丝 1 关注私信	不死神鸟 1 17 楼脱壳。找到OEP就等于找到你家的门钥匙 2007-6-3 06:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复