首页
社区
课程
招聘
[求助]ESP定律如何进入OEP?大家指点一下
发表于: 2008-4-26 22:45 4829

[求助]ESP定律如何进入OEP?大家指点一下

2008-4-26 22:45
4829
今天试试用UPX 3.02把Windows2003的记事本程序加壳,然后开始自己第一次的手动脱壳
但是脱壳过程中一直无法判断是否进入OEP了...脱出来的文件PEid查看也不正常(能正常运行)

下面是搜索了论坛一些帖子之后一知半解的开始了ESP

1 载入文件,将第一个ESP值减4后 在 command输入框 设置为HW断点



2 F9,断在了popad 下的第一个点(疑惑的就是这里是不是OEP....)



3 Lord PE保存,然后ImportREC修复

4 结果用PEid查看的时候发现似乎有问题...
普通扫描未知


深度扫描为UPX


请问是不是我少了步骤或者是没有进入OEP?(前面部分参照http://bbs.pediy.com/showthread.php?t=63499&highlight=ESP+%E5%AE%9A%E5%BE%8B 弄的)
附上加壳的记事本程序 notepad.rar
麻烦大家了~

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (9)
雪    币: 722
活跃值: (123)
能力值: ( LV12,RANK:300 )
在线值:
发帖
回帖
粉丝
2
popad之后再走几步,到这句:
010143FB  - E9 A52FFFFF     jmp     010073A5
这句就是跳到OEP的,到了这句之后F8一下就到了OEP(010073A5)
2008-4-26 23:13
0
雪    币: 207
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
像UPX这样不是猛壳的壳,它的壳代码到OEP时,是有一个明显的长距离跨段的跳转的,因为它不猛,o(∩_∩)o...源程序的加密代码是在一个单独的段里面,壳运行后解密还原出代码就要跳过去执行源程序了,而源程序是在另一个段里面,所以就有了这个明显的跳转分界线,你用esp定律后断下来的下面就有一个长距离的jmp,跳过去就是OEP了。
2008-4-27 00:59
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
成功了
非常感谢指点
2008-4-27 11:39
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
[QUOTE='UD]Arthas;446089']像UPX这样不是猛壳的壳,它的壳代码到OEP时,是有一个明显的长距离跨段的跳转的,因为它不猛,o(∩_∩)o...源程序的加密代码是在一个单独的段里面,壳运行后解密还原出代码就要跳过去执行源程序了,而源程序是在另一个段里面,所以就有了这个明显的跳转分界线,你用esp定律后断下来的下面就有一个长距离的...[/QUOTE]

恩 听你这么一说之后,就明白了 原来会有这样的一个跳转存在  
非常感谢 呵呵
2008-4-27 11:40
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
第一次手动脱壳实验成功了.感谢大家的帮助 :)

贴图庆贺一下(虽然是一个比较好脱的壳 不过有纪念价值 呵呵) 再次感谢一下了



偶要继续努力了
上传的附件:
2008-4-27 11:45
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
刚刚在论坛看精华贴 发现UPX的壳 直接搜索POPAD关键字似乎也很容易就到了关键跳.....
2008-4-27 15:39
0
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
8
学用内存断点

ESP早就不能用了
2008-4-27 16:45
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
恩 好的~这两天都一直在看论坛精华帖和视频教程
2008-4-27 17:04
0
雪    币: 123
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
新手都喜欢简单的嘛,ESP定律简单,不过看来还是内存断点猛。。
2008-6-8 19:42
0
游客
登录 | 注册 方可回帖
返回
//