吾爱汇编

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 30364|回复: 344

[原创逆向视频] 脱壳之ESP定律寻找OEP

  [复制链接]
千里冰封 发表于 2016-12-26 09:54 | 显示全部楼层 |阅读模式

本帖最后由 千里冰封 于 2016-12-28 10:21 编辑

有矛就有盾,逆向不费劲。【吾爱汇编论坛


                               
登录/注册后可看大图

【以下为技术转载】

壳的加载过程:

首先是保存现场 ==》获取壳程序自己所需要的函数 ==》解密数据 ==》初始化IAT ==》跳到OEP ==》进行脱壳、修复

加壳的程序首先会初始化所有寄存器的值,在外壳执行完毕后,会恢复各个寄存器的内容,再跳到OEP去执行程序!
通常加壳程序会用pushad / pushfd进行保存现场,用popad / popfd来恢复现场。

一般外壳的输入表有GetMoudleHandleA、GetProcAddress和LoadLibrary这几个API函数!

壳会保护被加壳程序的区块的数据和代码,会加密被加壳程序的各个区块,在程序执行时,外壳会对这些被加密的数据进行解密,从而能够让被加密的程序可以正常运行!壳会按照被加密的区块的顺序进行解密,把解密的区块的数据按照区块的定义放在合适的内存位置!

程序在加壳的时候,加壳程序自己构造了一个输入表,并把PE头中的输入表的指针指向了自己构造了的输入表,所以,PE装载器会对自己建立的输入表进行了填写,那么原来的IAT是通过PE装载器来实现的,可是现在就只能依靠外壳来填写PE输入表,外壳只需要对新输入表结构从头到尾扫描一遍,对每个DLL的引入的所有函数重新获取地址,并填写IAT!

外壳的执行完毕后,会跳到原来的程序的入口点,即Original Entry Point,也可以称作OEP!当一般加密强度不是很大的壳,会在壳的末尾有一个大的跨段,跳向OEP,类似一个壳与程序入口点的“分界线”

有的加密壳会把程序的入口点挪到壳段,并把这段代码给清除掉,就是我们称作的“Stolen Code”,这样壳与程序就部分彼此,加大了对脱壳的难度。(当然,我们可以把清除掉的OEP补回来!然后再进行脱壳!有的壳可能会利用虚拟机将入口出给VM掉,都是需要我们手动修复的!)


                               
登录/注册后可看大图



                               
登录/注册后可看大图

ESP定律寻找OEP在线视频:
游客,如果您要查看本帖隐藏内容请回复
如果觉得有帮助,请甩起评分,评分是系统赠送的,免费的



评分

参与人数 46HB +55 THX +21 收起 理由
longge188 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
白白茶茶 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
禽大师 + 1
虚心学习 + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
lies + 1
yexing + 1
别管我了行 + 1
望海巡山 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
三月十六 + 1
特洛衣 + 1 [吾爱汇编论坛52HB.COM]-学逆向防逆向,知进攻懂防守!
两手空空 + 1
消逝的过去 + 2
allenzjb + 1 + 1
雷音山人 + 1 【不符版规】您所发布的内容,不符合版规要求。5HB为系统默认发帖奖励,现已撤销。
上帝的恩赐 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
luoyong5129 + 1
bnjzzheng + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
w3731026 + 2 + 1
aleeba8 + 1 + 1
shiyue10 + 1 [快捷评语]--积极评分,从我做起。感谢分享!
刘老咪 + 1 + 1 [快捷评语]--你将受到所有人的崇拜!
pfypfy123 + 1 + 1 [快捷评语]--你将受到所有人的崇拜!
wwd138 + 1 + 1 [快捷评语]--吃水不忘打井人,给个评分懂感恩!
sncffbo + 1 + 1 [快捷评语]--评分=感恩!简单却充满爱!感谢您的作品!
SSScott + 1 [快捷评语]--评分=感恩!简单却充满爱!感谢您的作品!
hysmy17 + 1 + 1 [快捷评语]--评分=感恩!简单却充满爱!感谢您的作品!
315505895 + 1 + 1
方长 + 1 [快捷评语] - 评分=感恩!简单却充满爱!感谢您的作品!
1216702586 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
arnofei + 1 [快捷评语] - 评分=感恩!简单却充满爱!感谢您的作品!
破壁者 + 1 [快捷评语] - 2018,狗年发发发,狗年旺旺旺!
syzh802618 + 3 + 1 [快捷评语] - 2018,狗年发发发,狗年旺旺旺!
不会有你HK + 1 对ESP定律讲解的很详细 感谢分享
Lemon蒙 + 1 + 1 [快捷评语] - 2017,让我们17学破解!
腾飞元元 + 1 + 1 [快捷评语] - 分享精神,是最值得尊敬的!
salamatrara + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
jiqigouer + 1 感谢分享!
小值是个小白 + 1 [快捷评语] - 分享精神,是最值得尊敬的!
wpsys + 2 + 1 [快捷评语] - 分享精神,是最值得尊敬的!
Vision丶夏休 + 1 分享精神,是最值得尊敬的!
imHarry + 1 2017,新年快乐!让我们17学破解!
vance + 1 软件带有“学破解论坛网址”,置顶高亮7天7夜!
pj2020 + 1 分享精神,是最值得尊敬的!
zhyao2003 + 1 分享精神,是最值得尊敬的!
Shark恒 + 10 + 1 应该改一下名“脱壳之ESP定律寻找OEP”
tianzhiya + 2 + 1 吃水不忘打井人,给个评分懂感恩!

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
tianzhiya 发表于 2016-12-26 10:47 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| 千里冰封 发表于 2016-12-26 11:07 | 显示全部楼层

多谢鲨鱼老大的支持,标题已改好@Shark恒
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
lihui0520 发表于 2016-12-26 13:57 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| 千里冰封 发表于 2016-12-26 14:01 | 显示全部楼层

tianzhiya 发表于 2016-12-26 10:47
多谢楼主分享, 学习了!

有帮助就好
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| 千里冰封 发表于 2016-12-26 14:04 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
xpj_user01 发表于 2016-12-26 20:43 | 显示全部楼层

来学习了
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
frank3706 发表于 2016-12-26 21:15 | 显示全部楼层

感谢分享!下来学习学习!!
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
音无 发表于 2016-12-27 14:22 | 显示全部楼层

沉迷学习无法自拔
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| 千里冰封 发表于 2016-12-27 21:21 | 显示全部楼层

我觉得视频 教程,直接放上视频连接,比较好,下载速度太慢了
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

警告:本站严惩灌水回复,尊重自己从尊重他人开始!

1层
2层
3层
4层
5层
6层
7层
8层
9层
10层

免责声明

吾爱汇编(www.52hb.com)所讨论的技术及相关工具仅限用于研究学习,皆在提高软件产品的安全性,严禁用于不良动机。任何个人、团体、组织不得将其用于非法目的,否则,一切后果自行承担。吾爱汇编不承担任何因为技术滥用所产生的连带责任。吾爱汇编内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@sina.com
站长QQ:1140549900


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编 ( 京公网安备11011502005403号 , 京ICP备20003498号-6 )|网站地图

Powered by Discuz!

吾爱汇编 www.52hb.com

快速回复 返回顶部 返回列表