首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[分享]快速跳到PECompact 2.x加壳程序OEP的一个小技巧
发表于: 2005-1-5 00:48 4421

[分享]快速跳到PECompact 2.x加壳程序OEP的一个小技巧

xIkUg 活跃值
9
2005-1-5 00:48
4421
用OD载入被加壳程序后,如果壳入口地址的RVA不是1000,那么这个入口地址就是原程序的OEP了,F8走一步,然后在壳入口地址处下硬件执行断点,F9运行就到OEP处了...此秘密不忍独吞,特与各位共享之:D :D :D

发现PECompact 加VC编译的程序会把壳的Loader写在OEP处,其他语言编译的程序就不是这样处理的了(入口RVA大多在1000处),大家可以试试

如:
004012E0 t>  B8 E0C74200         mov eax,tDProces.0042C7E0     ;壳入口
004012E5     50                  push eax
004012E6     64:FF35 00000000    push dword ptr fs:[0]
004012ED     64:8925 00000000    mov dword ptr fs:[0],esp
004012F4     33C0                xor eax,eax

这个程序的壳入口RVA就不是1000,F8到004012E5后在壳入口004012E0下硬件执行断点就行了,断下后就可Dump

[课程]Linux pwn 探索篇!

收藏
免费 0
支持
分享
最新回复 (9)
stan52
雪    币: 11948
活跃值: (3725)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
谢谢提供!
2005-1-5 01:08
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
3
应该早已不是秘密了
2005-1-5 09:24
0
xIkUg
雪    币: 116
活跃值: (220)
能力值: ( LV12,RANK:370 )
在线值:
发帖
回帖
粉丝
私信
4
最初由 fly 发布
应该早已不是秘密了


:o :D 我还以为大家不知道呢,看来只有我不知道了
2005-1-5 09:28
0
David
雪    币: 411
活跃值: (1160)
能力值: ( LV9,RANK:810 )
在线值:
发帖
回帖
粉丝
私信
5
看2.x的脱壳脚本,通用位置是找jmp eax
2005-1-5 09:37
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
6
无论如何,也要感谢兄弟的分享精神  :D
2005-1-5 09:45
0
pendan2001
雪    币: 61
活跃值: (160)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
7
无论如何,也要感谢
2005-1-5 10:44
0
nbw
雪    币: 339
活跃值: (1510)
能力值: ( LV13,RANK:970 )
在线值:
发帖
回帖
粉丝
私信
8
顶!这方法比较适合我这种菜人
2005-1-5 12:48
0
xIkUg
雪    币: 116
活跃值: (220)
能力值: ( LV12,RANK:370 )
在线值:
发帖
回帖
粉丝
私信
9
嘿嘿...到昨天晚上12点之前我还真不知道这个"技巧"呢

:D
2005-1-5 12:55
0
q3 watcher
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
最初由 xIkUg 发布
嘿嘿...到昨天晚上12点之前我还真不知道这个"技巧"呢

:D

那是不天天来,不贴贴看的恶果。:D :D :D
2005-1-5 15:26
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//