[求助]ESP定律如何进入OEP?大家指点一下-经典问答-看雪-安全社区|安全招聘|kanxue.com

[求助]ESP定律如何进入OEP?大家指点一下

发表于: 2008-4-26 22:45 4807

[求助]ESP定律如何进入OEP?大家指点一下

wenysky

2008-4-26 22:45

4807

今天试试用UPX 3.02把Windows2003的记事本程序加壳,然后开始自己第一次的手动脱壳
但是脱壳过程中一直无法判断是否进入OEP了...脱出来的文件PEid查看也不正常(能正常运行)

下面是搜索了论坛一些帖子之后一知半解的开始了ESP

1 载入文件,将第一个ESP值减4后在 command输入框设置为HW断点

2 F9,断在了popad 下的第一个点(疑惑的就是这里是不是OEP....)

3 Lord PE保存,然后ImportREC修复

4 结果用PEid查看的时候发现似乎有问题...
普通扫描未知

深度扫描为UPX

请问是不是我少了步骤或者是没有进入OEP?(前面部分参照http://bbs.pediy.com/showthread.php?t=63499&highlight=ESP+%E5%AE%9A%E5%BE%8B 弄的)
附上加壳的记事本程序 notepad.rar
麻烦大家了~

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

HW.gif （37.00kb，168次下载）
ESP.gif （38.12kb，168次下载）
nothing.gif （8.26kb，167次下载）
thick.gif （8.29kb，166次下载）
notepad.rar （31.56kb，10次下载）

收藏・0

免费・0

支持

最新回复 (9)
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 2 楼 popad之后再走几步，到这句： 010143FB - E9 A52FFFFF jmp 010073A5 这句就是跳到OEP的，到了这句之后F8一下就到了OEP（010073A5） 2008-4-26 23:13 0
UD]Arthas 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 61 粉丝 0 关注私信	UD]Arthas 1 3 楼像UPX这样不是猛壳的壳，它的壳代码到OEP时，是有一个明显的长距离跨段的跳转的，因为它不猛，o(∩_∩)o...源程序的加密代码是在一个单独的段里面，壳运行后解密还原出代码就要跳过去执行源程序了，而源程序是在另一个段里面，所以就有了这个明显的跳转分界线，你用esp定律后断下来的下面就有一个长距离的jmp，跳过去就是OEP了。 2008-4-27 00:59 0
wenysky 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 30 粉丝 0 关注私信	wenysky 4 楼成功了非常感谢指点 2008-4-27 11:39 0
wenysky 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 30 粉丝 0 关注私信	wenysky 5 楼 [QUOTE='UD]Arthas;446089']像UPX这样不是猛壳的壳，它的壳代码到OEP时，是有一个明显的长距离跨段的跳转的，因为它不猛，o(∩_∩)o...源程序的加密代码是在一个单独的段里面，壳运行后解密还原出代码就要跳过去执行源程序了，而源程序是在另一个段里面，所以就有了这个明显的跳转分界线，你用esp定律后断下来的下面就有一个长距离的...[/QUOTE] 恩听你这么一说之后,就明白了原来会有这样的一个跳转存在非常感谢呵呵 2008-4-27 11:40 0
wenysky 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 30 粉丝 0 关注私信	wenysky 6 楼第一次手动脱壳实验成功了.感谢大家的帮助 :) 贴图庆贺一下(虽然是一个比较好脱的壳不过有纪念价值呵呵) 再次感谢一下了偶要继续努力了上传的附件： success.gif （46.37kb，151次下载） 2008-4-27 11:45 0
wenysky 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 30 粉丝 0 关注私信	wenysky 7 楼刚刚在论坛看精华贴发现UPX的壳直接搜索POPAD关键字似乎也很容易就到了关键跳..... 2008-4-27 15:39 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 8 楼学用内存断点 ESP早就不能用了 2008-4-27 16:45 0
wenysky 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 30 粉丝 0 关注私信	wenysky 9 楼恩好的~这两天都一直在看论坛精华帖和视频教程 2008-4-27 17:04 0
风谣雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 81 粉丝 0 关注私信	风谣 10 楼新手都喜欢简单的嘛，ESP定律简单，不过看来还是内存断点猛。。 2008-6-8 19:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wenysky

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (9)
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 2 楼 popad之后再走几步，到这句： 010143FB - E9 A52FFFFF jmp 010073A5 这句就是跳到OEP的，到了这句之后F8一下就到了OEP（010073A5） 2008-4-26 23:13 0
UD]Arthas 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 61 粉丝 0 关注私信	UD]Arthas 1 3 楼像UPX这样不是猛壳的壳，它的壳代码到OEP时，是有一个明显的长距离跨段的跳转的，因为它不猛，o(∩_∩)o...源程序的加密代码是在一个单独的段里面，壳运行后解密还原出代码就要跳过去执行源程序了，而源程序是在另一个段里面，所以就有了这个明显的跳转分界线，你用esp定律后断下来的下面就有一个长距离的jmp，跳过去就是OEP了。 2008-4-27 00:59 0
wenysky 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 30 粉丝 0 关注私信	wenysky 4 楼成功了非常感谢指点 2008-4-27 11:39 0
wenysky 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 30 粉丝 0 关注私信	wenysky 5 楼 [QUOTE='UD]Arthas;446089']像UPX这样不是猛壳的壳，它的壳代码到OEP时，是有一个明显的长距离跨段的跳转的，因为它不猛，o(∩_∩)o...源程序的加密代码是在一个单独的段里面，壳运行后解密还原出代码就要跳过去执行源程序了，而源程序是在另一个段里面，所以就有了这个明显的跳转分界线，你用esp定律后断下来的下面就有一个长距离的...[/QUOTE] 恩听你这么一说之后,就明白了原来会有这样的一个跳转存在非常感谢呵呵 2008-4-27 11:40 0
wenysky 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 30 粉丝 0 关注私信	wenysky 6 楼第一次手动脱壳实验成功了.感谢大家的帮助 :) 贴图庆贺一下(虽然是一个比较好脱的壳不过有纪念价值呵呵) 再次感谢一下了偶要继续努力了上传的附件： success.gif （46.37kb，151次下载） 2008-4-27 11:45 0
wenysky 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 30 粉丝 0 关注私信	wenysky 7 楼刚刚在论坛看精华贴发现UPX的壳直接搜索POPAD关键字似乎也很容易就到了关键跳..... 2008-4-27 15:39 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 8 楼学用内存断点 ESP早就不能用了 2008-4-27 16:45 0
wenysky 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 30 粉丝 0 关注私信	wenysky 9 楼恩好的~这两天都一直在看论坛精华帖和视频教程 2008-4-27 17:04 0
风谣雪币： 123 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 81 粉丝 0 关注私信	风谣 10 楼新手都喜欢简单的嘛，ESP定律简单，不过看来还是内存断点猛。。 2008-6-8 19:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复