[原创]esp定律真TMD牛B呀，一下子就找到OEP了-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]esp定律真TMD牛B呀，一下子就找到OEP了

发表于: 2009-2-28 13:18 15435

[原创]esp定律真TMD牛B呀，一下子就找到OEP了

lemonxxx

2009-2-28 13:18

15435

最近看了天草哥哥的破解教程，一头雾水。昨晚看了esp定律，一开始不理解，不是很明白esp是什么原理。后来上网查了一下esp这个寄存器的作用，终于明白有些大侠说的一开始看第一个变化的esp值，然后下断点。其实很多upx的壳一开始就是pushad,这时esp的值只是程序启动的初始堆栈的栈顶值，并不是pushad后esp栈顶值。所以此时不能断，一定要F8后下一条指令，即等pushad执行完毕后，此时esp就是栈顶的值了，此时下断点，hw esp值，F9，停下后，就是OEP附近了。此时popad就在附近，找到jmp，f8，就是OEP入口了，果然TMD的快呀。之前还在网上找什么upx脱壳机，TMD浪费了多少时间。
还有值得一说的是，一开始不知道要如何dump内存，原来od里就有一个插件，叫ollydump，不要用olly pe dump那个，麻烦，还要找 Import REConstruct修复IAT。
在od里，定位在OEP的第一句，即由刚刚的jmp跳到的那里，插件-》ollydump，此时ollydump已经填好相应的数值了，直接按脱壳就OK可以运行了。爽吧。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・5

免费・0

支持

最新回复 (36) 1 2 ▶
evilight 雪币： 235 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 161 粉丝 0 关注私信	evilight 1 2 楼好，esp定理！ 2009-2-28 13:49 0
evilight 雪币： 235 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 161 粉丝 0 关注私信	evilight 1 3 楼这个定理谁是最早发现者呀。应该不是天草 2009-2-28 13:50 0
wyfe 雪币： 2575 活跃值： (487) 能力值： ( LV2，RANK：85 ) 在线值：发帖 65 回帖 460 粉丝 0 关注私信	wyfe 4 楼保持环境不变，估计那些写壳的人都知道。脱壳应用中，2003年这篇帖子记录较早的： http://www.woodmann.com/forum/showthread.php?t=5155 Petite 2.2: Trace until you go over the PUSHAD. Click in dump window. Ctrl+G. Type ESP. Select first two bytes in dump, set breakpoint on memory access -> word. Back in CPU window, hit F9. Shift+F9 until you reach POPAD/POPFW. There should be a JMP soon after the POP. Trace into the JMP, this is the OEP. Dump process with LordPE. Open process with imprec. Set correct OEP/IAT autotrace. Hit show invalid. Right click and do a level 1. Fix the dump. 2009-2-28 14:02 0
cnhk 雪币： 203 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 22 粉丝 0 关注私信	cnhk 5 楼不错发现的越多进步的也越多 2009-2-28 14:24 0
wxjgeorge 雪币： 123 活跃值： (95) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 140 粉丝 1 关注私信	wxjgeorge 1 6 楼 ESP对于一些加密壳还是无能为力的 .ollydump还没怎么用过 ,一直是在用 lordPE,感觉很顺手 . 2009-2-28 15:08 0
linexp 雪币： 255 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	linexp 7 楼虽然脱壳不多但也遇到了用 ollydump和lordPE 同对付一个软件有的能用有的不能用 2009-4-20 21:47 0
此情可待雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	此情可待 8 楼我是初学者，以后要多学这样的好文章 2009-4-20 22:40 0
铮铮雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 55 粉丝 0 关注私信	铮铮 9 楼可惜的是用这个办法只能脱很少一部分壳 2009-4-20 23:34 0
lingqu 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 56 粉丝 0 关注私信	lingqu 10 楼 ESP定律主要只能用于压缩壳吧。 2009-4-21 21:11 0
proxyhappy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 0 关注私信	proxyhappy 11 楼有时间也去试下谢谢楼主分享 2009-4-22 07:50 0
frozenrain 雪币： 107 活跃值： (1623) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 12 楼有本书上说是fly 2009-4-22 08:17 0
许晴雪币： 113 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 107 粉丝 0 关注私信	许晴 13 楼 ollydump 对有些壳不好使，不如LordPE+Import REC专业，脱的壳多了你就会发现的。不过对付用esp定律能解决的压缩壳，够了我的书上就是这么说的 2009-4-24 22:38 0
cfz 雪币： 605 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 72 粉丝 0 关注私信	cfz 14 楼用内存法也蛮快的呀，可以试试 2009-4-26 14:40 0
buddhawyk 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 31 粉丝 0 关注私信	buddhawyk 15 楼我接触ESP定律也是在天草老师的教程里。！ 2009-4-26 21:10 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 16 楼 fly是搞了广义的esp定律吧 2009-4-26 21:27 0
wamcncn 雪币： 204 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 52 粉丝 0 关注私信	wamcncn 17 楼ＥＳＰ只能对一些壳起做用 2009-4-27 20:54 0
liangyu 雪币： 267 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	liangyu 18 楼我第一次看到ESP定律是在fly 04年写的两本小册子里 2009-4-27 23:01 0
birdcfly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	birdcfly 19 楼 ESP定律不是万能的,但是可以弄很多上手壳 2009-4-28 10:23 0
风轻云清雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	风轻云清 20 楼 ESP定律我也是ESP定律中长大的。 2009-4-28 14:58 0
日出江红雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 35 粉丝 0 关注私信	日出江红 21 楼 ESP定律确实是好用，大众化 2009-4-28 23:33 0
coolvcsky 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	coolvcsky 22 楼看样子，我还落后10年。 2009-5-3 21:35 0
断了的弦雪币： 79 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 62 粉丝 0 关注私信	断了的弦 23 楼一定是Fly 2009-5-3 21:38 0
weinuan 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	weinuan 24 楼自己现在就只会这个呵呵！没深入研究！ 2009-5-4 11:49 0
御剑逍遥雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 41 粉丝 0 关注私信	御剑逍遥 25 楼压缩壳好搞加密壳就难多了需要对PE格式了解 2009-5-4 22:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

lemonxxx

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (36) 1 2 ▶
evilight 雪币： 235 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 161 粉丝 0 关注私信	evilight 1 2 楼好，esp定理！ 2009-2-28 13:49 0
evilight 雪币： 235 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 161 粉丝 0 关注私信	evilight 1 3 楼这个定理谁是最早发现者呀。应该不是天草 2009-2-28 13:50 0
wyfe 雪币： 2575 活跃值： (487) 能力值： ( LV2，RANK：85 ) 在线值：发帖 65 回帖 460 粉丝 0 关注私信	wyfe 4 楼保持环境不变，估计那些写壳的人都知道。脱壳应用中，2003年这篇帖子记录较早的： http://www.woodmann.com/forum/showthread.php?t=5155 Petite 2.2: Trace until you go over the PUSHAD. Click in dump window. Ctrl+G. Type ESP. Select first two bytes in dump, set breakpoint on memory access -> word. Back in CPU window, hit F9. Shift+F9 until you reach POPAD/POPFW. There should be a JMP soon after the POP. Trace into the JMP, this is the OEP. Dump process with LordPE. Open process with imprec. Set correct OEP/IAT autotrace. Hit show invalid. Right click and do a level 1. Fix the dump. 2009-2-28 14:02 0
cnhk 雪币： 203 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 22 粉丝 0 关注私信	cnhk 5 楼不错发现的越多进步的也越多 2009-2-28 14:24 0
wxjgeorge 雪币： 123 活跃值： (95) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 140 粉丝 1 关注私信	wxjgeorge 1 6 楼 ESP对于一些加密壳还是无能为力的 .ollydump还没怎么用过 ,一直是在用 lordPE,感觉很顺手 . 2009-2-28 15:08 0
linexp 雪币： 255 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	linexp 7 楼虽然脱壳不多但也遇到了用 ollydump和lordPE 同对付一个软件有的能用有的不能用 2009-4-20 21:47 0
此情可待雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	此情可待 8 楼我是初学者，以后要多学这样的好文章 2009-4-20 22:40 0
铮铮雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 55 粉丝 0 关注私信	铮铮 9 楼可惜的是用这个办法只能脱很少一部分壳 2009-4-20 23:34 0
lingqu 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 56 粉丝 0 关注私信	lingqu 10 楼 ESP定律主要只能用于压缩壳吧。 2009-4-21 21:11 0
proxyhappy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 0 关注私信	proxyhappy 11 楼有时间也去试下谢谢楼主分享 2009-4-22 07:50 0
frozenrain 雪币： 107 活跃值： (1623) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 12 楼有本书上说是fly 2009-4-22 08:17 0
许晴雪币： 113 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 107 粉丝 0 关注私信	许晴 13 楼 ollydump 对有些壳不好使，不如LordPE+Import REC专业，脱的壳多了你就会发现的。不过对付用esp定律能解决的压缩壳，够了我的书上就是这么说的 2009-4-24 22:38 0
cfz 雪币： 605 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 72 粉丝 0 关注私信	cfz 14 楼用内存法也蛮快的呀，可以试试 2009-4-26 14:40 0
buddhawyk 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 31 粉丝 0 关注私信	buddhawyk 15 楼我接触ESP定律也是在天草老师的教程里。！ 2009-4-26 21:10 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 16 楼 fly是搞了广义的esp定律吧 2009-4-26 21:27 0
wamcncn 雪币： 204 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 52 粉丝 0 关注私信	wamcncn 17 楼ＥＳＰ只能对一些壳起做用 2009-4-27 20:54 0
liangyu 雪币： 267 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	liangyu 18 楼我第一次看到ESP定律是在fly 04年写的两本小册子里 2009-4-27 23:01 0
birdcfly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	birdcfly 19 楼 ESP定律不是万能的,但是可以弄很多上手壳 2009-4-28 10:23 0
风轻云清雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	风轻云清 20 楼 ESP定律我也是ESP定律中长大的。 2009-4-28 14:58 0
日出江红雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 35 粉丝 0 关注私信	日出江红 21 楼 ESP定律确实是好用，大众化 2009-4-28 23:33 0
coolvcsky 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	coolvcsky 22 楼看样子，我还落后10年。 2009-5-3 21:35 0
断了的弦雪币： 79 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 62 粉丝 0 关注私信	断了的弦 23 楼一定是Fly 2009-5-3 21:38 0
weinuan 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	weinuan 24 楼自己现在就只会这个呵呵！没深入研究！ 2009-5-4 11:49 0
御剑逍遥雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 41 粉丝 0 关注私信	御剑逍遥 25 楼压缩壳好搞加密壳就难多了需要对PE格式了解 2009-5-4 22:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复