[求助]OD附加到进程，如何查找OEP？-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
wefgod 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 60 粉丝 0 关注私信	wefgod 2 楼几天没来结果······还没人回复啊··· 2009-6-2 10:35 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 3 楼仅仅听说过一些名词，而不知道它们的原理是不够的。 OEP，Original Entry Point，原始入口点，本意是指壳的功能（比如解压缩，解密IAT等）执行完成后，转向原来程序的入口点。对于压缩壳，通常可以顺利找到OEP，但是对于现在很多的保护壳，这个概念没有什么意义了，因为“壳”与“瓤”已经搅在了一起，特别是很多壳带有SDK，更是分不清什么是壳，什么是瓤了。而附加的进程，程序早已经运行，也就是OEP早就执行过去了，因此附加后再去找OEP，除非用特征码暴力搜索内存（不过没什么意义，因为DUMP出的程序基本上是不能用的）。脱壳，不适合用附加的办法。而所谓“ESP定律”，并不是什么金科玉律，只是一条简单的规律：程序的执行要保持堆栈平衡，至少是应该保持。这条规律适于用几乎所有（并不是全部）的压缩壳，还有极个别的较弱的保护壳。它是基于这样一个事实（甚至假设）：壳的开始会将原来的寄存器内容压栈，而壳的结尾会将这些内容再出栈。 2009-6-2 19:23 0
大头和尚雪币： 421 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 483 粉丝 0 关注私信	大头和尚 4 楼书生讲的清楚，的确是深入浅出。多谢 2009-6-2 21:29 0
wefgod 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 60 粉丝 0 关注私信	wefgod 5 楼嗯，其实汇编我是学过的，堆栈的平衡理解的还可以壳附带的SDK确实比较麻烦···· 但是高人说的很通俗易懂，谢谢 2009-6-2 22:28 0
SFQin 雪币： 22 活跃值： (74) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 154 粉丝 0 关注私信	SFQin 6 楼大牛讲的就是通俗易懂，学习了 2009-6-2 22:45 0
dyne 雪币： 252 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	dyne 7 楼学习了，更深入的认识了oep 2009-8-26 22:41 0
封锁雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 34 粉丝 0 关注私信	封锁 8 楼看看再说.. 2009-9-22 11:46 0
mxsfwxl 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 47 粉丝 0 关注私信	mxsfwxl 9 楼有了进一步的了解了谢谢 2009-10-24 09:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
wefgod 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 60 粉丝 0 关注私信	wefgod 2 楼几天没来结果······还没人回复啊··· 2009-6-2 10:35 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 3 楼仅仅听说过一些名词，而不知道它们的原理是不够的。 OEP，Original Entry Point，原始入口点，本意是指壳的功能（比如解压缩，解密IAT等）执行完成后，转向原来程序的入口点。对于压缩壳，通常可以顺利找到OEP，但是对于现在很多的保护壳，这个概念没有什么意义了，因为“壳”与“瓤”已经搅在了一起，特别是很多壳带有SDK，更是分不清什么是壳，什么是瓤了。而附加的进程，程序早已经运行，也就是OEP早就执行过去了，因此附加后再去找OEP，除非用特征码暴力搜索内存（不过没什么意义，因为DUMP出的程序基本上是不能用的）。脱壳，不适合用附加的办法。而所谓“ESP定律”，并不是什么金科玉律，只是一条简单的规律：程序的执行要保持堆栈平衡，至少是应该保持。这条规律适于用几乎所有（并不是全部）的压缩壳，还有极个别的较弱的保护壳。它是基于这样一个事实（甚至假设）：壳的开始会将原来的寄存器内容压栈，而壳的结尾会将这些内容再出栈。 2009-6-2 19:23 0
大头和尚雪币： 421 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 483 粉丝 0 关注私信	大头和尚 4 楼书生讲的清楚，的确是深入浅出。多谢 2009-6-2 21:29 0
wefgod 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 60 粉丝 0 关注私信	wefgod 5 楼嗯，其实汇编我是学过的，堆栈的平衡理解的还可以壳附带的SDK确实比较麻烦···· 但是高人说的很通俗易懂，谢谢 2009-6-2 22:28 0
SFQin 雪币： 22 活跃值： (74) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 154 粉丝 0 关注私信	SFQin 6 楼大牛讲的就是通俗易懂，学习了 2009-6-2 22:45 0
dyne 雪币： 252 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	dyne 7 楼学习了，更深入的认识了oep 2009-8-26 22:41 0
封锁雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 34 粉丝 0 关注私信	封锁 8 楼看看再说.. 2009-9-22 11:46 0
mxsfwxl 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 47 粉丝 0 关注私信	mxsfwxl 9 楼有了进一步的了解了谢谢 2009-10-24 09:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复