首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]对《寻找真正的入口(OEP)--广义ESP定律》的一个疑问 0.00雪花
发表于: 2009-2-6 10:57 3680

[旧帖] [求助]对《寻找真正的入口(OEP)--广义ESP定律》的一个疑问 0.00雪花

serforev 活跃值
2009-2-6 10:57
3680
文章中说:“现在,根据上面的ESP原理,我们知道多数壳在运行到OEP的时候ESP=0012FFC4。这就是说程序的第一句是对0012FFC0进行写入操作!”,“多数壳在运行到OEP的时候ESP=0012FFC4”这句话我是明白了,但是怎么就能得出“程序的第一句是对0012FFC0进行写入操作!”这个结论呢?

文章地址:http://www.pediy.com/bbshtml/BBS6/pediy6083.htm

[课程]FART 脱壳王!加量不加价!FART作者讲授!

收藏
免费 0
支持
分享
最新回复 (8)
huowu
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
ESP定律的原理就是“堆栈平衡”原理。你好像理解错方向了。
2009-2-6 11:08
0
huowu
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
另外,只有一部分壳在运行到OEP的时候ESP=0012FFC4,并不是所有。
2009-2-6 11:09
0
serforev
雪    币: 200
活跃值: (384)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
就是说我不用理解他这句话的意思了?
2009-2-6 11:13
0
huowu
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
你需要理解的是堆栈平衡
2009-2-6 11:18
0
huowu
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
我觉得你应该把原文下面这段话仔细体会下。

1.ESP定律的原理是什么?

  堆栈平衡原理。
  
  2.ESP定律的适用范围是什么?

  几乎全部的压缩壳,部分加密壳。只要是在JMP到OEP后,ESP=0012FFC4的壳,理论上我们都可以使用。但是在何时下断点避开校验,何时下断OD才能断下来,这还需要多多总结和多多积累。欢迎你将你的经验和我们分享。

  3.是不是只能下断12FFA4的访问断点?

  当然不是,那只是ESP定律的一个体现,我们运用的是ESP定律的原理,而不应该是他的具体数值,不能说12FFA4,或者12FFC0就是ESP定律,他们只是ESP定律的一个应用罢了!

  4.对于STOLEN CODE我们怎么办?

  哈哈,这正是寻找STOLEN CODE最好的办法!当我们断下时,正好断在了壳处理STOLEN CODE的地方,在F8一会就到OEP了!


尤其作者总结的第3点。
2009-2-6 11:20
0
better
雪    币: 331
活跃值: (57)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
私信
7
因为大多数程序入口处都有PUSH
2009-2-6 11:43
0
peeler
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
push ebp
2009-2-6 12:06
0
serforev
雪    币: 200
活跃值: (384)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
谢谢两位,我终于明白了。当前ESP=0012FFC4的话,再进行压栈时,ESP就等于0012FFC0,就使用 0012FFC0来保存压栈的内容,所以是对 0012FFC0进行写入操作!

不好意思,让大家见笑了。
2009-2-6 12:20
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//