请问一下各位高人这里算是OEP吗？-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 请问一下各位高人这里算是OEP吗？ 0.00雪花

发表于: 2008-4-7 02:56 3697

[旧帖] 请问一下各位高人这里算是OEP吗？ 0.00雪花

wuheike

2008-4-7 02:56

3697

用PEID查得UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]的一个壳
用OD载入后得到的入口
0042B000 >  90             nop
0042B001 B9 9608BD01    mov ecx,1BD0896
0042B006 90             nop
0042B007 90             nop
0042B008 68 20B04200    push 1111.0042B020
0042B00D 5E             pop esi
0042B00E 68 98050000    push 598
0042B013 5A             pop edx
0042B014 FF3432       push dword ptr ds:[edx+esi]
0042B017 310C24       xor dword ptr ss:[esp],ecx
0042B01A 8F0432       pop dword ptr ds:[edx+esi]
0042B01D 83EA 04       sub edx,4
0042B020  ^ 75 F2          jnz short 1111.0042B014
0042B022 90             nop
0042B023 90             nop
0042B024 7E 75          jle short 1111.0042B09B ；//F4下断后他的地址变为call 0042B1A6  然后F7进去
###########################
0042B01A 8F0432       pop dword ptr ds:[edx+esi]
0042B01D 83EA 04       sub edx,4
0042B020  ^ 75 F2          jnz short 1111.0042B014
0042B022 90             nop
0042B023 90             nop
0042B024 E8 7D010000    call 1111.0042B1A6    ；//*********
0042B029 0000          add byte ptr ds:[eax],al
0042B02B 0000          add byte ptr ds:[eax],al
0042B02D 0040 00       add byte ptr ds:[eax],al

#################################################
0042B024 7E 75          jle short 1111.0042B09B ；//F4下断后他的地址变为call 0042B1A6  然后F7进去得到的地址为

0042B1A6 55             push ebp
0042B1A7 8BEC          mov ebp,esp
0042B1A9 81C4 C0FEFFFF add esp,-140
0042B1AF 8BC5          mov eax,ebp
0042B1B1 83C0 04       add eax,4
0042B1B4 8BD5          mov edx,ebp
0042B1B6 53             push ebx
0042B1B7 56             push esi
0042B1B8 57             push edi
0042B1B9 33DB          xor ebx,ebx
0042B1BB 8B38          mov edi,dword ptr ds:[eax]
0042B1BD 8D4D C8       lea ecx,dword ptr ss:[ebp-38]
0042B1C0 83EF 05       sub edi,5
然后一直拉到段尾，在RETN下断
0042B232 8D85 C2FEFFFF lea eax,dword ptr ss:[ebp-13E>
0042B238 50             push eax
0042B239 E8 7C010000    call 1111.0042B3BA
0042B23E 5F             pop edi
0042B23F 5E             pop esi
0042B240 5B             pop ebx
0042B241 8BE5          mov esp,ebp
0042B243 5D             pop ebp
0042B244 C3             retn    ；//F4下断运行到这然后F7进去
###########################################################
得到现在的地址
004252F0 60             pushad    ；//到这里才是程序的入口然后用ESP定律
004252F1 BE 00904100    mov esi,1111.00419000
004252F6 8DBE 0080FEFF lea edi,dword ptr ds:[esi+FFF>
004252FC 57             push edi
004252FD 83CD FF       or ebp,FFFFFFFF
00425300 EB 10          jmp short 1111.00425312
00425302 90             nop
00425303 90             nop
00425304 90             nop
00425305 90             nop
00425306 90             nop
00425307 90             nop
00425308 8A06          mov al,byte ptr ds:[esi]
###############################################

0042543C 83C3 04       add ebx,4
0042543F  ^ EB D8          jmp short 1111.00425419
00425441 FF96 E0920200 call dword ptr ds:[esi+292E0]
00425447 61             popad
00425448  - E9 B3BBFDFF    jmp 1111.00401000       ；//程序断在这里，取消断点F8进去
0042544D 0000          add byte ptr ds:[eax],al
0042544F 0000          add byte ptr ds:[eax],al
00425451 0000          add byte ptr ds:[eax],al
##############################################
00401000 E8 9B270000    call 1111.004037A0       ；//F8进来后得到这个地址，请问版主这是程序的OEP吗？
00401005 50             push eax
00401006 E8 A7220100    call 1111.004132B2          ; jmp 到
0040100B 0000          add byte ptr ds:[eax],al
0040100D 0000          add byte ptr ds:[eax],al
0040100F 90             nop
00401010 55             push ebp
00401011 8BEC          mov ebp,esp
00401013 53             push ebx
00401014 56             push esi

如果这里算是OEP的话，但脱不了壳，请各位高手看看好吗？

[课程]Android-CTF解题方法汇总！

收藏・0

免费・0

支持

最新回复 (10)
wqrsksk 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 569 粉丝 0 关注私信	wqrsksk 2 楼嗯...是oep 2008-4-7 10:05 0
LCN 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	LCN 3 楼好像分析的有点问题!首先0042B024 7E 75 jle short 1111.0042B09B ；//F4下断后他的地址变为call 0042B1A6 然后F7进去.这个如果是call 0042B1A6 远CALL就可以F8步过了.T第二004252F0 60 pushad ；//到这里才是程序的入口然后用ESP定律,,,参数传递可不是这样吧.出栈然后跳。第三我就是不明白。你为什么要在0042B244 C3 retn ；//F4下断运行到这然后F7进去` 这里我不是很明白，为什么？能说下原因吗？？？ 2008-4-7 11:27 0
蓬莱过客雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	蓬莱过客 4 楼 [QUOTE=;]...[/QUOTE] 关注一下貌似分析的不全 2008-4-7 17:56 0
wuheike 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 28 粉丝 0 关注私信	wuheike 5 楼不好意思，现在才上来，我解释的也不是太清楚，前面一大段代码好像只有我这里才有（我的机子查区段看到里面多了一个区段不知道是怎么回事，所以要走一大段代码后才可以到加壳后程序的入口点，而且我试了很多个软件都一下的，用OD载入后都要走那么一段代码后才到你要载入的程序的入口）。不信的话我把那个软件发上来你们看一下吧，谢谢！！ 2008-4-7 21:37 0
wuheike 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 28 粉丝 0 关注私信	wuheike 6 楼 LCN如果不在这里（0042B024 7E 75 jle short 1111.0042B09B ）下断的话，程序就会直接运行，如果不在这里下断（0042B244 C3 retn ）程序也会跑飞，然后怎么样也到了加壳程序的入口，因为我也是刚学破解，如果我不像上面说的那样做的话我怎么也到不了加壳程序的入口，而且我试了好多个软件包括三人行里他给的那些教程里的软件，OD载入后要走像前面一大段代码后入口才会和教程里的一样，我一直都不明白是怎么回事，也试了很多方法，都没解决，如果你们有什么好见意可以教我一下，我在这谢谢你们啦！！ 2008-4-7 23:07 0
wuheike 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 28 粉丝 0 关注私信	wuheike 7 楼这个是我调试的程序，请各位高手下下去看一下，谢谢！！上传的附件： 1111.rar （220.59kb，12次下载） 2008-4-7 23:35 0
LCN 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	LCN 8 楼下得打不开呀,而且还报毒!!! 2008-4-8 21:28 0
shishaojie 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 56 粉丝 0 关注私信	shishaojie 9 楼开头两个CALL，有可能是冒充的，应该跟进去看一下.有些壳也会玩学本山大叔玩忽悠. 2008-4-8 21:56 0
wuheike 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 28 粉丝 0 关注私信	wuheike 10 楼 LCN真不好意思啦，那个附件我测过的没有毒啊，只是一个要输入密码的一个软件啊，但还是要说声对不起啦。 “开头两个CALL，有可能是冒充的，应该跟进去看一下.有些壳也会玩学本山大叔玩忽悠. ”的确是忽悠的，用PEID查区段会多一个区段出来， 2008-4-8 23:02 0
LCN 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	LCN 11 楼没关系,呵呵. 2008-4-9 22:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wuheike

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (10)
wqrsksk 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 569 粉丝 0 关注私信	wqrsksk 2 楼嗯...是oep 2008-4-7 10:05 0
LCN 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	LCN 3 楼好像分析的有点问题!首先0042B024 7E 75 jle short 1111.0042B09B ；//F4下断后他的地址变为call 0042B1A6 然后F7进去.这个如果是call 0042B1A6 远CALL就可以F8步过了.T第二004252F0 60 pushad ；//到这里才是程序的入口然后用ESP定律,,,参数传递可不是这样吧.出栈然后跳。第三我就是不明白。你为什么要在0042B244 C3 retn ；//F4下断运行到这然后F7进去` 这里我不是很明白，为什么？能说下原因吗？？？ 2008-4-7 11:27 0
蓬莱过客雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	蓬莱过客 4 楼 [QUOTE=;]...[/QUOTE] 关注一下貌似分析的不全 2008-4-7 17:56 0
wuheike 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 28 粉丝 0 关注私信	wuheike 5 楼不好意思，现在才上来，我解释的也不是太清楚，前面一大段代码好像只有我这里才有（我的机子查区段看到里面多了一个区段不知道是怎么回事，所以要走一大段代码后才可以到加壳后程序的入口点，而且我试了很多个软件都一下的，用OD载入后都要走那么一段代码后才到你要载入的程序的入口）。不信的话我把那个软件发上来你们看一下吧，谢谢！！ 2008-4-7 21:37 0
wuheike 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 28 粉丝 0 关注私信	wuheike 6 楼 LCN如果不在这里（0042B024 7E 75 jle short 1111.0042B09B ）下断的话，程序就会直接运行，如果不在这里下断（0042B244 C3 retn ）程序也会跑飞，然后怎么样也到了加壳程序的入口，因为我也是刚学破解，如果我不像上面说的那样做的话我怎么也到不了加壳程序的入口，而且我试了好多个软件包括三人行里他给的那些教程里的软件，OD载入后要走像前面一大段代码后入口才会和教程里的一样，我一直都不明白是怎么回事，也试了很多方法，都没解决，如果你们有什么好见意可以教我一下，我在这谢谢你们啦！！ 2008-4-7 23:07 0
wuheike 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 28 粉丝 0 关注私信	wuheike 7 楼这个是我调试的程序，请各位高手下下去看一下，谢谢！！上传的附件： 1111.rar （220.59kb，12次下载） 2008-4-7 23:35 0
LCN 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	LCN 8 楼下得打不开呀,而且还报毒!!! 2008-4-8 21:28 0
shishaojie 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 56 粉丝 0 关注私信	shishaojie 9 楼开头两个CALL，有可能是冒充的，应该跟进去看一下.有些壳也会玩学本山大叔玩忽悠. 2008-4-8 21:56 0
wuheike 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 28 粉丝 0 关注私信	wuheike 10 楼 LCN真不好意思啦，那个附件我测过的没有毒啊，只是一个要输入密码的一个软件啊，但还是要说声对不起啦。 “开头两个CALL，有可能是冒充的，应该跟进去看一下.有些壳也会玩学本山大叔玩忽悠. ”的确是忽悠的，用PEID查区段会多一个区段出来， 2008-4-8 23:02 0
LCN 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	LCN 11 楼没关系,呵呵. 2008-4-9 22:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复