吾爱汇编

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

楼主: Shark恒

[原创逆向图文] 【S02E04】Shark恒 零基础逆向教程之图文!【无期徒刑】

  [复制链接]
诚实的勇士 发表于 2015-2-23 21:00 | 显示全部楼层

本帖最后由 诚实的勇士 于 2015-2-23 21:46 编辑

想用esp定律脱这个,但是始终找不到oep,求各位大神指导
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
kbys的壳,好吧,我承认下一课有说。。但是看之前还是解决掉了

QQ截图20150223212653.png
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
hktkzyz 发表于 2015-3-3 09:44 | 显示全部楼层

本帖最后由 hktkzyz 于 2015-3-3 09:53 编辑

这一课这么好,怎么没有很多人回复?我觉得这一课学到很多东西,也遇到一些问题。
收获:
1、认识了一个BP ExitProcess API断点,这样就可以对一些自动退出的程序多一条思路。
同时大小写还必须严格不能搞错。。。。
2、je跳转的修改,以前只知道je改jnz和nop填充,现在又知道了在寄存器里把Z值由1改0。
3、脱壳中,原来ESP定律,可以多次使用呀,说实话,我开始也没脱掉壳。4、有时候程序入口不是我们常见的样子,若不是恒大说:“那就右键,选择“分析”......”,
即使到了脱壳处,我也没认出来。

问题:
1、这么好一个API断点,为什么不加在“设置API断点”的菜单里?我们的OD不是定制的吗?
不知这个能不能定制进去。呵呵,其实我是懒得手打,也怕忘记怎么打。
2、设置API断点后,F9后,恒大说是“系统领空”不能操作,请问何为“系统领空”?
根据百度,目前我的理解是:OD标题最后处写的是 模块-kernel32(系统dll,所以是系统领空),不知是否对?
3、下面就不明白了,为何在段首下断,是因为这段找不到跳转吗?
4、又为何在此段首继续在堆栈窗口右键,反汇编窗口中跟随呢?如果“系统领空”和“程序领空”
我理解没错的话,这里应该是“程序领空”呀?
海阔天空截图未33命名.jpg


不知怎样发帖能引起  恒大等老师师兄们的注意,希望能有人解决一下上述问题,我相信,应该不止我一人有以上疑惑。。。

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
dx259618 发表于 2015-3-6 10:08 | 显示全部楼层

照着老师步骤走还是很容易的,感谢老师
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
xor 发表于 2015-3-8 14:08 | 显示全部楼层

安装好了虚拟机,终于能调试脱壳后的文件了。
先说一下我学习中遇到的问题和解决方案。
之前我把时间调到2005年 然后脱好了壳。但用BP ExitProcess下断电却没有任何反应。结果发现解决方案是把时间调回实际时间就能完美解决。

在找段首的过程中,确实在语句的下面有段代码很像教程中的段首,但为啥要往上面找因为他叫段首呗。

在学习中遇到一个问题就是,我把je改成jnz后却没有把功能实现。但改成nop后却实现了。希望大牛指点一二
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
安林 发表于 2015-4-6 00:14 | 显示全部楼层

第四天继续学。。HB不够了。。
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
jflmao 发表于 2015-4-6 16:04 | 显示全部楼层

本帖最后由 jflmao 于 2015-4-6 16:07 编辑
hktkzyz 发表于 2015-3-3 09:44
这一课这么好,怎么没有很多人回复?我觉得这一课学到很多东西,也遇到一些问题。
收获:
1、认识了一个B ...

这个API断点已经集成到我们的专版OD里了,有两处都可以找到
一处是上面的悬浮工具菜单,点第一个菜单“BP”,最下面的就是了

QQ拼音截图未命名11.png

还有一处是“插件”菜单里的“API断点设置工具”里面,这个比较强大,有很多API断点
QQ拼音截图未命名12.png
QQ拼音截图未命名13.png



另外也要感谢你,要不是你提到ESP定律可以不止用一次,我也脱不了壳了

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
hktkzyz 发表于 2015-4-6 16:49 | 显示全部楼层

jflmao 发表于 2015-4-6 16:04
这个API断点已经集成到我们的专版OD里了,有两处都可以找到
一处是上面的悬浮工具菜单,点第一个菜单“B ...

工具条这个后边发现了。
插件里原来有这蛮多的api断点呀,真是感谢。
ESP定律不止用一次,也不是我发现的,是恒大说的。
谢谢交流。
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
jflmao 发表于 2015-4-6 16:50 | 显示全部楼层

交作业。。
脱壳,要不是@hktkzyz 的一句话,我还脱不了壳呢,不过,就算知道后,我也是经过多次实验,才确定在断点下面第一个call,再来一次esp定律,才脱得了壳,不过,至于为什么要在这个call进行esp,还是不懂,希望知道的大牛能够指点一下


QQ拼音截图未命名01.png

QQ拼音截图未命名20.png

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
jflmao 发表于 2015-4-6 16:54 | 显示全部楼层

hktkzyz 发表于 2015-3-3 09:44
这一课这么好,怎么没有很多人回复?我觉得这一课学到很多东西,也遇到一些问题。
收获:
1、认识了一个B ...

你好,后面的几个问题解决了吗?能否分享下啊。。这几个问题我也不懂啊。。。
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
hktkzyz 发表于 2015-4-6 17:35 | 显示全部楼层

jflmao 发表于 2015-4-6 16:54
你好,后面的几个问题解决了吗?能否分享下啊。。这几个问题我也不懂啊。。。

1、经你提醒,已经解决。
2、我的理解是对的。看标题即可。
3、段首下断,是为了回溯。(段首从堆栈返回到反汇编   和  段尾跳出,道理一样)
4、时间长没看这个,应该是该段找不到跳转,所以再次转到上一段。
我也小白,将就着理解吧。
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

警告:本站严惩灌水回复,尊重自己从尊重他人开始!

11层
12层
13层
14层
15层
16层
17层
18层
19层
20层

免责声明

吾爱汇编(www.52hb.com)所讨论的技术及相关工具仅限用于研究学习,皆在提高软件产品的安全性,严禁用于不良动机。任何个人、团体、组织不得将其用于非法目的,否则,一切后果自行承担。吾爱汇编不承担任何因为技术滥用所产生的连带责任。吾爱汇编内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@sina.com
站长QQ:1140549900


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编 ( 京公网安备11011502005403号 , 京ICP备20003498号-6 )|网站地图

Powered by Discuz!

吾爱汇编 www.52hb.com

快速回复 返回顶部 返回列表