首页
课程
问答
CTF
社区
招聘
看雪峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
看雪峰会
看雪商城
证书查询
社区
加壳脱壳
发新帖
1
0
[求助]关于脱壳基础教程中的平衡原理找OEP
发表于: 2007-9-2 20:05
6007
[求助]关于脱壳基础教程中的平衡原理找OEP
xuanyuancl
2007-9-2 20:05
6007
站内脱壳基础知识入门中的寻找OEP一节中说:多数壳在运行到OEP的时候ESP=0012FFC4,这就是说程序的第一句是对0012FFC0进行写入操作..."
但是我用OllyDBG调试notepad.upx.exe时,看到右边状态栏显示ESP=0013FFC4,不知道是操作不对还是怎么回事,望热心人赐教!谢谢!
[课程]FART 脱壳王!加量不加价!FART作者讲授!
收藏
・
1
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
最新回复
(
13
)
kanxue
雪 币:
44229
活跃值:
(19950)
能力值:
(RANK:350 )
在线值:
发帖
2369
回帖
17027
粉丝
527
关注
私信
kanxue
8
2
楼
0012FFC0这个值来自这里(是一种经验,不绝对的):
http://www.pediy.com/bbshtml/BBS6/pediy6083.htm
你的系统什么?OD加载程序,ESP的值就是0013FFC4?
2007-9-2 20:25
0
cmdxhz
雪 币:
1753
活跃值:
(840)
能力值:
( LV8,RANK:120 )
在线值:
发帖
30
回帖
291
粉丝
3
关注
私信
cmdxhz
1
3
楼
的确是有这种情况`我遇到过```WINXP SP2~~
2007-9-2 20:47
0
kanxue
雪 币:
44229
活跃值:
(19950)
能力值:
(RANK:350 )
在线值:
发帖
2369
回帖
17027
粉丝
527
关注
私信
kanxue
8
4
楼
可以对0013FFC0下硬件断点,把外壳当成一个黑盒子,经过其处理后,ESP的值不会变。
针对这个,forgot解释说:这个值操作系统怎么开心怎么来,将SizeOfStackCOmmit改大就会变
2007-9-2 21:00
0
forgot
雪 币:
6075
活跃值:
(2236)
能力值:
(RANK:1060 )
在线值:
发帖
155
回帖
3771
粉丝
15
关注
私信
forgot
26
5
楼
汗,把我暴露了
2007-9-2 21:08
0
xyguotao
雪 币:
200
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
1
回帖
25
粉丝
0
关注
私信
xyguotao
6
楼
把一切坏分子拉出来曝光!
就像forgot这样的。
倒挂起来打,然后口袋里的东西就都纷纷掉下来了。
俗称,摇钱人肉树。
2007-9-2 21:37
0
xuanyuancl
雪 币:
200
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
3
回帖
6
粉丝
0
关注
私信
xuanyuancl
7
楼
我的系统的确是winxp sp2的哈,看到forgot解释明白拉,谢谢大家拉
2007-9-4 21:04
0
cnmtchbgs
雪 币:
200
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
3
回帖
28
粉丝
0
关注
私信
cnmtchbgs
8
楼
我用OllyDBG调试教程中的notepad.upx.exe,按照步骤操作成功dump了,入口地址OD自动更改成正确的了,但是生成的文件不可执行,不知道哪位帮忙解释一下!
2007-10-1 20:06
0
vrowang123
雪 币:
257
活跃值:
(56)
能力值:
( LV5,RANK:60 )
在线值:
发帖
75
回帖
586
粉丝
0
关注
私信
vrowang123
1
9
楼
入口地址用importREC改,还有要用importREC修复import表(upx有时不用修复)
2007-10-1 20:40
0
cnmtchbgs
雪 币:
200
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
3
回帖
28
粉丝
0
关注
私信
cnmtchbgs
10
楼
我查看入口地址对的啊?
2007-10-1 20:47
0
vrowang123
雪 币:
257
活跃值:
(56)
能力值:
( LV5,RANK:60 )
在线值:
发帖
75
回帖
586
粉丝
0
关注
私信
vrowang123
1
11
楼
你随便翻翻几篇脱文,结尾部分,修复iat的。
这种方法都类似的。
2007-10-1 22:16
0
cnmtchbgs
雪 币:
200
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
3
回帖
28
粉丝
0
关注
私信
cnmtchbgs
12
楼
修复了仍然不行
2007-10-1 23:23
0
cnmtchbgs
雪 币:
200
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
3
回帖
28
粉丝
0
关注
私信
cnmtchbgs
13
楼
奇怪了,我在00401000处找到入口,OEP应当是00001000了,将其填入ImportREC后修复dump出来的文件,得到的最终文件还是不可执行,是不是我哪里做的有问题?
2007-10-1 23:39
0
cnmtchbgs
雪 币:
200
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
3
回帖
28
粉丝
0
关注
私信
cnmtchbgs
14
楼
哪位有脱http://www.pediy.com/tutorial/chap8/Chap8-4-2.htm
教程里面的upx经验,我用OD按照教程上去脱壳,生成的目标文件执行不了。但是我自己用upx工具加的壳,直接dump就成功了。哪位能告诉我问题出在哪啊
2007-10-2 01:05
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
xuanyuancl
3
发帖
6
回帖
10
RANK
关注
私信
他的文章
[推荐]王爽的<<汇编语言>>,特别适合0起步的初学者!
7587
[求助]关于OD调试按f8程序跑飞的问题
4702
[求助]关于脱壳基础教程中的平衡原理找OEP
6008
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
看原图
赞赏
×
雪币:
+
留言:
快捷留言
返回
顶部