[求助]对《寻找真正的入口（OEP）--广义ESP定律》的一个疑问-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
huowu 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 117 粉丝 0 关注私信	huowu 2 楼 ESP定律的原理就是“堆栈平衡”原理。你好像理解错方向了。 2009-2-6 11:08 0
huowu 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 117 粉丝 0 关注私信	huowu 3 楼另外，只有一部分壳在运行到OEP的时候ESP=0012FFC4，并不是所有。 2009-2-6 11:09 0
serforev 雪币： 200 活跃值： (384) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 13 粉丝 0 关注私信	serforev 4 楼就是说我不用理解他这句话的意思了？ 2009-2-6 11:13 0
huowu 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 117 粉丝 0 关注私信	huowu 5 楼你需要理解的是堆栈平衡 2009-2-6 11:18 0
huowu 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 117 粉丝 0 关注私信	huowu 6 楼我觉得你应该把原文下面这段话仔细体会下。 1.ESP定律的原理是什么？堆栈平衡原理。 2.ESP定律的适用范围是什么？几乎全部的压缩壳，部分加密壳。只要是在JMP到OEP后，ESP=0012FFC4的壳，理论上我们都可以使用。但是在何时下断点避开校验，何时下断OD才能断下来，这还需要多多总结和多多积累。欢迎你将你的经验和我们分享。 3.是不是只能下断12FFA4的访问断点？当然不是，那只是ESP定律的一个体现，我们运用的是ESP定律的原理，而不应该是他的具体数值，不能说12FFA4，或者12FFC0就是ESP定律，他们只是ESP定律的一个应用罢了！ 4.对于STOLEN CODE我们怎么办？哈哈，这正是寻找STOLEN CODE最好的办法！当我们断下时，正好断在了壳处理STOLEN CODE的地方，在F8一会就到OEP了！尤其作者总结的第3点。 2009-2-6 11:20 0
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 7 楼因为大多数程序入口处都有PUSH 2009-2-6 11:43 0
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 8 楼 push ebp 2009-2-6 12:06 0
serforev 雪币： 200 活跃值： (384) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 13 粉丝 0 关注私信	serforev 9 楼谢谢两位，我终于明白了。当前ESP=0012FFC4的话，再进行压栈时，ESP就等于0012FFC0，就使用 0012FFC0来保存压栈的内容，所以是对 0012FFC0进行写入操作！不好意思，让大家见笑了。 2009-2-6 12:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
huowu 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 117 粉丝 0 关注私信	huowu 2 楼 ESP定律的原理就是“堆栈平衡”原理。你好像理解错方向了。 2009-2-6 11:08 0
huowu 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 117 粉丝 0 关注私信	huowu 3 楼另外，只有一部分壳在运行到OEP的时候ESP=0012FFC4，并不是所有。 2009-2-6 11:09 0
serforev 雪币： 200 活跃值： (384) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 13 粉丝 0 关注私信	serforev 4 楼就是说我不用理解他这句话的意思了？ 2009-2-6 11:13 0
huowu 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 117 粉丝 0 关注私信	huowu 5 楼你需要理解的是堆栈平衡 2009-2-6 11:18 0
huowu 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 117 粉丝 0 关注私信	huowu 6 楼我觉得你应该把原文下面这段话仔细体会下。 1.ESP定律的原理是什么？堆栈平衡原理。 2.ESP定律的适用范围是什么？几乎全部的压缩壳，部分加密壳。只要是在JMP到OEP后，ESP=0012FFC4的壳，理论上我们都可以使用。但是在何时下断点避开校验，何时下断OD才能断下来，这还需要多多总结和多多积累。欢迎你将你的经验和我们分享。 3.是不是只能下断12FFA4的访问断点？当然不是，那只是ESP定律的一个体现，我们运用的是ESP定律的原理，而不应该是他的具体数值，不能说12FFA4，或者12FFC0就是ESP定律，他们只是ESP定律的一个应用罢了！ 4.对于STOLEN CODE我们怎么办？哈哈，这正是寻找STOLEN CODE最好的办法！当我们断下时，正好断在了壳处理STOLEN CODE的地方，在F8一会就到OEP了！尤其作者总结的第3点。 2009-2-6 11:20 0
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 7 楼因为大多数程序入口处都有PUSH 2009-2-6 11:43 0
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 8 楼 push ebp 2009-2-6 12:06 0
serforev 雪币： 200 活跃值： (384) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 13 粉丝 0 关注私信	serforev 9 楼谢谢两位，我终于明白了。当前ESP=0012FFC4的话，再进行压栈时，ESP就等于0012FFC0，就使用 0012FFC0来保存压栈的内容，所以是对 0012FFC0进行写入操作！不好意思，让大家见笑了。 2009-2-6 12:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]对《寻找真正的入口（OEP）--广义ESP定律》的一个疑问 0.00雪花