[转帖]ESP 定律脱16种壳大全-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[转帖]ESP 定律脱16种壳大全

发表于: 2007-9-17 08:30 10987

[转帖]ESP 定律脱16种壳大全

xuliwen

2007-9-17 08:30

10987

ESP 定律脱16种壳大全
来源于：INTERNET

关于 ESP 脱壳找 EOP

ESP 定律：就是加载程序后 F8单步运行第一个变化的 ESP 值，右击寄存器上 ESP 在转存中跟随，在内存地址上选中前四个，右击，断点，硬件访问，word F9，中断，....返回。

(D 12ffc0 选四个下硬件写入 dword) 我的其它小记

1. Aspcak 方法：
ESP+6175(Sb) POPAD JMP

2. UPX 方法：
S 0000 The First JMP
变种
ESP+S (60E9)
0040EA0E 60 PUSHAD
0040EA0F - E9 B826FFFF JMP chap702.004010CC

3. PECompact 1.68 - 1.84
ESP
Or 注意第一个 PUSH XXXX XXXX+基址(400000)=EOP

4. EZIP 1.0 方法：
ESP

5. JDPack 1.x / JDProtect 0.9
ESP+S(6150)

0040E3F8 894424 1C MOV DWORD PTR SS:[ESP+1C],EAX
0040E3FC 61 POPAD
0040E3FD 50 PUSH EAX
0040E3FE C3 RETN
0040E3FF 23E8 AND EBP,EAX

6. PE Pack 1.0
ESP+S (61ff)
0040D26F 61 POPAD
0040D270 FFE0 JMP EAX

7. WWPack32 1.x
ESP

8. PEDiminisher 0.1
ESP+S(FFE0) or S(JMP EAX)
0041708D 5D POP EBP
0041708E 5F POP EDI
0041708F 5E POP ESI
00417090 5A POP EDX
00417091 59 POP ECX
00417092 5B POP EBX
00417093 - FFE0 JMP EAX

9. DxPACK V0.86
ESP+S(JMP EAX or 61ffe0)
0040D163 61 POPAD
0040D164 - FFE0 JMP EAX

10. PKLITE32 1.1
F8 5 次来到 EOP

11. 32Lite 0.03a
ESP 往下找到
PUSH EAX
50c3 or PUSH EAX
003780F4 50 PUSH EAX
003780F5 C3 RETN
来到
0041C53C FF96 84B50100 CALL DWORD PTR DS:[ESI+1B584]
0041C542 61 POPAD
0041C543 - E9 0848FFFF JMP QEDITOR.00410D50
注意：先用 LoadPE 转存 Olldbg 加载的那个加壳文件，退出，运行加壳后的文件，RecImport 修正 EOP 修复抓取文件到 DUMP 的那个文件。

12. VGCrypt PE Encryptor V0.75
ESP 安 F9(断点开始)，地址-1＝EOP

13. PC Shrinker 0.71
ESP
00142BA8 BA CC104000 MOV EDX,4010CC
00142BAD FFE2 JMP EDX

14. Petite2.2
1. D 12ffa0
3 下 F9
来到 EOP=地址-1
2. ESP 两下同上

15. EXE Stealth2.72
ESP+S()

0040D49F 8B9D B62F4000 MOV EBX,DWORD PTR SS:[EBP+402FB6]
0040D4A5 039D BA2F4000 ADD EBX,DWORD PTR SS:[EBP+402FBA]
将堆栈中值10cc+400000=4010cc 得出记事本的Oep. 加壳软件的oep.
0040D4AB C1CB 07 ROR EBX,7

注明：
例子： ESP+S (60E9)
后面 S 是搜索的意思，里面为搜索内容，可能是 Ctrl+F 的也可能是 Ctrl+B
反正大家是聪明人一看就知道了～·

[课程]Linux pwn 探索篇！

收藏・9

免费・0

支持

最新回复 (21)
yuxinxxgc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 66 粉丝 0 关注私信	yuxinxxgc 2 楼怎么没有Themida的呢 2007-9-17 11:52 0
爆破无情雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	爆破无情 3 楼是啊，现在还出来过什么壳名字忘了，好象还没有人能破戒 2007-9-17 13:50 0
爆破无情雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	爆破无情 4 楼其实都是人弄出来的就有办法破戒 2007-9-17 13:50 0
爆破无情雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	爆破无情 5 楼自古以来都是有阴就有阳相互克制的，呵呵 2007-9-17 13:51 0
爆破无情雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	爆破无情 6 楼我个人感觉还是有哪个大大写个脱壳机，不关什么强大的壳都能脱，就好比杀毒软件一样在先更新，那就完美了 2007-9-17 13:52 0
爆破无情雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	爆破无情 7 楼呵呵期待呵呵额 2007-9-17 13:53 0
ssgdtf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	ssgdtf 8 楼 ESP+6175(Sb) POPAD JMP 谁解释下 2007-9-24 15:11 0
wyfe 雪币： 2575 活跃值： (487) 能力值： ( LV2，RANK：85 ) 在线值：发帖 65 回帖 460 粉丝 0 关注私信	wyfe 9 楼 2003年RCE的一篇文章： http://www.woodmann.com/forum/showthread.php?t=5155 Unpacking ASPack, Neolite, Pe-Pack, Petite, andUPX tutorial -------------------------------------------------------------------------------- mmhckb I found this old file that I wrote up quite awhile ago. It may be of use to someone: How to Unpack Various EXE Packers using OllyDBG In fucking alphabetic order even! ------------------------------------------------------------------------ ASPack 2.12: Load the exe, you will have to Shift+F9 several times. Upwards of 50 times is normal. Use Ctrl+G ESP BP technique. You'll land on a JNZ. Trace into jump, it is pushing the oep. Trace into the ret. This is the OEP. Dump then fix IAT. Fix dump. done. ------------------------------------------------------------------------ EZIP 1.0: You start out on a JMP, trace into it. Ctrl+F9 (exec til ret). Scroll down and you should find a large loop. Past that, there is a JMP EAX. Trace into this JMP, this is the OEP. Dump, fix IAT, fix dump. ------------------------------------------------------------------------ Neolite 2.0: Scroll down until you see JMP EAX. Put BP here. Step into JMP. You're at the OEP. Dump and rebuild just as you would with UPX. ------------------------------------------------------------------------ PE-PaCK 1.0: You start on a JE with JMP right below it. Trace into the JMP. Now you're on a PUSHAD. Use the Dump window Ctrl+G esp bp. You stop on a JMP EAX. Trace into the JMP and you're at the OEP. Dump, rebuild IAT, fix dump. Done. ------------------------------------------------------------------------ Petite 2.2: Trace until you go over the PUSHAD. Click in dump window. Ctrl+G. Type ESP. Select first two bytes in dump, set breakpoint on memory access -> word. Back in CPU window, hit F9. Shift+F9 until you reach POPAD/POPFW. There should be a JMP soon after the POP. Trace into the JMP, this is the OEP. Dump process with LordPE. Open process with imprec. Set correct OEP/IAT autotrace. Hit show invalid. Right click and do a level 1. Fix the dump. ------------------------------------------------------------------------ UPX: Scroll down until you reach something that looks like this: 004142C7 > 61 POPAD 004142C8 .-E9 BE6CFFFF JMP wrap.0040AF8B 004142CD 00 DB 00 004142CE 00 DB 00 Set a breakpoint on the JMP and run. Step into the JMP. You're at the OEP. Dump with LordPE. Open process with impRec. Set OEP with the one you just found. Hit IAT AutoSearch. Hit Get Imports. Delete the bad thunks. Fix the dump. Done. ------------------------------------------------------------------------ ------------------------------------------------------------------------ OEP Finding Techniques #1 is just scroll down till u see 0040E23F .-E9 A479FFFF JMP upxs306.00405BE8 0040E244 5CE24000 DD upxs306.0040E25C 0040E248 60E24000 DD upxs306.0040E260 0040E24C C8734000 DD upxs306.004073C8 JMP and some shit with a bunch of 0's. #2 F7 on the PUSHAD goto the dump CTRL + G goto ESP Set a hardware Breakpoint on WORD that will take u straight to the jump #3 F7 onto the PUSHAD ctrl + T COMMAND is one of the following "POPAD" then CTRL + F11 2007-9-24 15:24 0
未秋叶落雪币： 122 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 90 粉丝 1 关注私信	未秋叶落 10 楼不懂啊。。太菜了 2007-9-24 19:44 0
caoyingwu 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 31 粉丝 0 关注私信	caoyingwu 11 楼看到了。。。。。。。。。。。。。。。。。。 2007-9-25 19:35 0
caoyingwu 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 31 粉丝 0 关注私信	caoyingwu 12 楼非常需要。。。。。。。。谢谢了。。。。。。。 2007-9-25 19:36 0
caoyingwu 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 31 粉丝 0 关注私信	caoyingwu 13 楼牛人都是为我们菜鸟着想 2007-9-25 19:37 0
oeptt 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	oeptt 14 楼呵呵这种事肯定是相生相克的 2007-9-26 14:30 0
skssjb 雪币： 203 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	skssjb 15 楼是啊1我也看不懂。真的是很菜。 2007-9-29 10:11 0
xiaobaoit 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	xiaobaoit 16 楼笨笨的我希望有个脱壳机，最好还是自动的，哈哈 2008-3-22 00:49 0
ignitly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	ignitly 17 楼那那样的话我们这些笨人再也不用这样了! 2008-3-26 14:55 0
小浪子雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	小浪子 18 楼好像看的不是太 2008-3-31 01:25 0
黑色帝国雪币： 108 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 25 粉丝 0 关注私信	黑色帝国 19 楼看来很多人应该先去学习一个esp定律的基本的知识 2008-5-24 06:44 0
pyyyc 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	pyyyc 20 楼看不怎么懂..但慢慢来,学习...正好有需要这个资料 2008-6-4 18:18 0
xiaojiam 雪币： 261 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 41 回帖 325 粉丝 0 关注私信	xiaojiam 2 21 楼要是把加了壳的程式上传就更加好了！ 2008-6-5 22:00 0
大头和尚雪币： 421 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 483 粉丝 0 关注私信	大头和尚 22 楼呵呵这个总结不错虽然有些壳还没碰到过但是ESP定律的确很好用 2008-6-6 09:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xuliwen

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
yuxinxxgc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 66 粉丝 0 关注私信	yuxinxxgc 2 楼怎么没有Themida的呢 2007-9-17 11:52 0
爆破无情雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	爆破无情 3 楼是啊，现在还出来过什么壳名字忘了，好象还没有人能破戒 2007-9-17 13:50 0
爆破无情雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	爆破无情 4 楼其实都是人弄出来的就有办法破戒 2007-9-17 13:50 0
爆破无情雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	爆破无情 5 楼自古以来都是有阴就有阳相互克制的，呵呵 2007-9-17 13:51 0
爆破无情雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	爆破无情 6 楼我个人感觉还是有哪个大大写个脱壳机，不关什么强大的壳都能脱，就好比杀毒软件一样在先更新，那就完美了 2007-9-17 13:52 0
爆破无情雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	爆破无情 7 楼呵呵期待呵呵额 2007-9-17 13:53 0
ssgdtf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	ssgdtf 8 楼 ESP+6175(Sb) POPAD JMP 谁解释下 2007-9-24 15:11 0
wyfe 雪币： 2575 活跃值： (487) 能力值： ( LV2，RANK：85 ) 在线值：发帖 65 回帖 460 粉丝 0 关注私信	wyfe 9 楼 2003年RCE的一篇文章： http://www.woodmann.com/forum/showthread.php?t=5155 Unpacking ASPack, Neolite, Pe-Pack, Petite, andUPX tutorial -------------------------------------------------------------------------------- mmhckb I found this old file that I wrote up quite awhile ago. It may be of use to someone: How to Unpack Various EXE Packers using OllyDBG In fucking alphabetic order even! ------------------------------------------------------------------------ ASPack 2.12: Load the exe, you will have to Shift+F9 several times. Upwards of 50 times is normal. Use Ctrl+G ESP BP technique. You'll land on a JNZ. Trace into jump, it is pushing the oep. Trace into the ret. This is the OEP. Dump then fix IAT. Fix dump. done. ------------------------------------------------------------------------ EZIP 1.0: You start out on a JMP, trace into it. Ctrl+F9 (exec til ret). Scroll down and you should find a large loop. Past that, there is a JMP EAX. Trace into this JMP, this is the OEP. Dump, fix IAT, fix dump. ------------------------------------------------------------------------ Neolite 2.0: Scroll down until you see JMP EAX. Put BP here. Step into JMP. You're at the OEP. Dump and rebuild just as you would with UPX. ------------------------------------------------------------------------ PE-PaCK 1.0: You start on a JE with JMP right below it. Trace into the JMP. Now you're on a PUSHAD. Use the Dump window Ctrl+G esp bp. You stop on a JMP EAX. Trace into the JMP and you're at the OEP. Dump, rebuild IAT, fix dump. Done. ------------------------------------------------------------------------ Petite 2.2: Trace until you go over the PUSHAD. Click in dump window. Ctrl+G. Type ESP. Select first two bytes in dump, set breakpoint on memory access -> word. Back in CPU window, hit F9. Shift+F9 until you reach POPAD/POPFW. There should be a JMP soon after the POP. Trace into the JMP, this is the OEP. Dump process with LordPE. Open process with imprec. Set correct OEP/IAT autotrace. Hit show invalid. Right click and do a level 1. Fix the dump. ------------------------------------------------------------------------ UPX: Scroll down until you reach something that looks like this: 004142C7 > 61 POPAD 004142C8 .-E9 BE6CFFFF JMP wrap.0040AF8B 004142CD 00 DB 00 004142CE 00 DB 00 Set a breakpoint on the JMP and run. Step into the JMP. You're at the OEP. Dump with LordPE. Open process with impRec. Set OEP with the one you just found. Hit IAT AutoSearch. Hit Get Imports. Delete the bad thunks. Fix the dump. Done. ------------------------------------------------------------------------ ------------------------------------------------------------------------ OEP Finding Techniques #1 is just scroll down till u see 0040E23F .-E9 A479FFFF JMP upxs306.00405BE8 0040E244 5CE24000 DD upxs306.0040E25C 0040E248 60E24000 DD upxs306.0040E260 0040E24C C8734000 DD upxs306.004073C8 JMP and some shit with a bunch of 0's. #2 F7 on the PUSHAD goto the dump CTRL + G goto ESP Set a hardware Breakpoint on WORD that will take u straight to the jump #3 F7 onto the PUSHAD ctrl + T COMMAND is one of the following "POPAD" then CTRL + F11 2007-9-24 15:24 0
未秋叶落雪币： 122 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 90 粉丝 1 关注私信	未秋叶落 10 楼不懂啊。。太菜了 2007-9-24 19:44 0
caoyingwu 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 31 粉丝 0 关注私信	caoyingwu 11 楼看到了。。。。。。。。。。。。。。。。。。 2007-9-25 19:35 0
caoyingwu 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 31 粉丝 0 关注私信	caoyingwu 12 楼非常需要。。。。。。。。谢谢了。。。。。。。 2007-9-25 19:36 0
caoyingwu 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 31 粉丝 0 关注私信	caoyingwu 13 楼牛人都是为我们菜鸟着想 2007-9-25 19:37 0
oeptt 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	oeptt 14 楼呵呵这种事肯定是相生相克的 2007-9-26 14:30 0
skssjb 雪币： 203 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	skssjb 15 楼是啊1我也看不懂。真的是很菜。 2007-9-29 10:11 0
xiaobaoit 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	xiaobaoit 16 楼笨笨的我希望有个脱壳机，最好还是自动的，哈哈 2008-3-22 00:49 0
ignitly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	ignitly 17 楼那那样的话我们这些笨人再也不用这样了! 2008-3-26 14:55 0
小浪子雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	小浪子 18 楼好像看的不是太 2008-3-31 01:25 0
黑色帝国雪币： 108 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 25 粉丝 0 关注私信	黑色帝国 19 楼看来很多人应该先去学习一个esp定律的基本的知识 2008-5-24 06:44 0
pyyyc 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	pyyyc 20 楼看不怎么懂..但慢慢来,学习...正好有需要这个资料 2008-6-4 18:18 0
xiaojiam 雪币： 261 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 41 回帖 325 粉丝 0 关注私信	xiaojiam 2 21 楼要是把加了壳的程式上传就更加好了！ 2008-6-5 22:00 0
大头和尚雪币： 421 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 483 粉丝 0 关注私信	大头和尚 22 楼呵呵这个总结不错虽然有些壳还没碰到过但是ESP定律的确很好用 2008-6-6 09:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复