当前位置: 首页 > article >正文

如何进行手动脱壳

脱壳的目的就是找到被隐藏起来的OEP(入口点)

这里我一共总结了三种方法,都是些自己的理解希望对你们有用

单步跟踪法

一个程序加了壳后,我们需要找到真正的OEP入口点,先运行,找到假的OEP入口点后,单步调试,我们不能让程序向上调试,只能让程序向下调试,遇到向上调试的将鼠标光标指到下一个,按F4,或者下个断点运行也可以跳过向上调试的点。当我们遇到有很大跨度的调试时,有可能就是真的OEP入口点

利用ESP定律进行脱壳

这里的ESP定律进行脱壳就是要下硬件断点,从而找到真正的OEP位置

这里先将程序用x86dbg运行起来,然后找到假的oep入口点,进行单步调试,看寄存器中的ESP,是否变红,一般只有当ESP变红后,步骤如下

然后点击运行跳到刚才打的断点处,到了断点处后,一般来说就已经找到真的oep入口点了,但还是得看当时所在得函数,一个模块程序得入口点的函数push(入栈),万一跳转到这个断点处没有看到push也没关系,因为真正的eop已经在附近了,再次点击运行,看会跳转到哪,是否有push字样,同时看程序是否真正进入且运行起来,注意看call这个汇编代码,这个意思是调用子函数的意思,可能这个子函数就是真正eop入口点。

一步直达法

这里的方法就是先找到程序假的oep(入栈)点,因为有入栈点,那必然是有出栈点的,而我们的一步直达就是如此,按ctrl+f查找函数的位置,这个时候不要着急,因为真正的oep已经在附近了,然后一直向下步过,注意call这个函数,因为有些会直接调用子函数,而某些子函数中就是我们要找的真正oep入口点

以上是我自己的个人理解,没有加图片进去,大家看着来就好,但注意,利用ESP定律进行脱壳是可以保证百分百把壳脱掉的,其他的方法根据情况而定。


http://www.kler.cn/a/134799.html

相关文章:

  • C++ 的协程
  • 某app最新版 vmp算法分析一
  • 使用elementUI实现表格行拖拽改变顺序,无需引入外部库
  • 字节、快手、Vidu“打野”升级,AI视频小步快跑
  • 使用支付宝沙箱完成商品下单
  • 使用CubeMX一键配置Freertos
  • Hive客户端hive与beeline的区别
  • VR智慧景区:VR赋能文旅产业,激活消费潜能
  • EtherCAT 伺服控制功能块实现
  • 3D建模基础教程:编辑多边形功能命令快捷方式
  • SpringBoot 整合 Freemarker
  • 小程序判断是否授权位置信息和手动授权
  • 【每日一题】最大子数组和
  • 小程序商城免费搭建之java商城 电子商务Spring Cloud+Spring Boot+二次开发+mybatis+MQ+VR全景+b2b2c
  • 越南MIC新规针对ICT和ITE产品电气授权标准变更
  • 一起学docker系列之四docker的常用命令--系统操作docker命令及镜像命令
  • Springcloud可视化物联网智慧工地云SaaS平台源码 支持二开和私有化部署
  • 沸点 | Ultipa 图数据库金融应用场景优秀案例首批入选,金融街论坛年会发布
  • Chat GPT 用于论文润色,常用指令这里都全了
  • ts视频文件转为mp4(FFmpeg)
  • 『亚马逊云科技产品测评』活动征文|基于next.js搭建一个企业官网
  • 每天一道算法题(五)——判断一组数字是否连续,出现连续数字的时候以‘-’输出
  • Flutter笔记:目录与文件存储以及在Flutter中的使用(上)
  • Git 提交竟然还能这么用?
  • css设置下划线
  • MCU内存基础知识