建议大家使用FireFox、Opera、Safri、IE8+等主流浏览器访问本站,否则可能会出现不兼容等问题!

双ESP定律脱壳思路

破解相关 凶恶的方块 4190次浏览 已收录 4个评论

前言:

这年头都怎么了,大晚上一个人下班回家,夜里伸手不见五个脚趾头,远观对面灯火通明——大妈不知业主恨,隔江尤跳广场舞。 醉了,醉醉的。下午时候闲着没事准备破解个壳子玩玩,结果果断脱不掉。ESP定律都学给狗了么?好了,简单的玩不了玩个难的练练手吧~(这是什么思路)。

文件下载

  文件名称:某壳子  文件大小:240KB
  下载声明:本站所有软件和资料均为软件作者提供或网友推荐发布而来,仅供学习和研究使用,不得用于任何商业用途。如本站不慎侵犯你的版权请联系我,我将及时处理,并撤下相关内容!
  下载地址:点击下载(提取码:bd92)

以上是本节课素材   要下载的可以下载学习,报毒什么的请直接忽视,或者放到虚拟机里。

脱壳开始:

一.查壳:

先用PE查查壳子,看看是什么鬼东西~:

双ESP定律脱壳思路

信息:KByS 0.28 beta EXE ( shoooo ) china 2006.05.23 *ACM 这是个鬼东西? 问了问度娘,原来是崛北压缩壳。

二.载入OD进行分析:

二话不说,直接拉入OD,F8下跳,ESP定律用一次。具体过程:(点击这里到那节课)选择——数据窗口跟随——选择数据——断点——硬件访问——word ——F9运行程序 停下的位置已经在图中了:

双ESP定律脱壳思路

先别着急继续向下找,我们先把硬件断点删掉,现在我们不需要它了。方法:调试——硬件断点

双ESP定律脱壳思路

删除断点后,F8向下走——当我们走到PUSHAD的时候,注意左面寄存器又符合了ESP定律。那我们再用一次看看会怎么样

双ESP定律脱壳思路

又经过一次ESP,断点,F9——又来到一个地方,貌似就是原来的地方~:

双ESP定律脱壳思路

看来这是距离OEP不远的样子,果断4次 F8 单步步入 真是日了狗了,这是进入黑洞了么?

 

双ESP定律脱壳思路

 

先别激动,看见那个55了么?很像是程序入口点啊,我们右键分析代码看看。

双ESP定律脱壳思路

ollydbg经过努力的分析把这个给还原了,现在我们一眼看过去这特么标准的C+语言入口点啊:

双ESP定律脱壳思路

 

已经到达OEP,妈妈我发现OEP了,至此脱壳成功,右键OD脱壳调试进程。保存一下,用PE检测一下EP code like Delphi/C++ but different structure   类型 。

双ESP定律脱壳思路

后记:

晚上10点下班,吃了个饭折腾2小时写完这篇教程,其中进入那个黑洞的地方,我问大神们为什么出现这个地方,F8应该不会步入call里面,大神们在泡妞没搭理我。 PS:知道的指点我一下,方块不胜感激。


方块网络 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明双ESP定律脱壳思路
喜欢 (3)or分享 (0)
avatar
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
(4)个小伙伴在吐槽
  1. avatar
    我说的是grewn vpn那个破解教程
    星空2015-07-30 11:44 回复 Android 4.4.2 | Safari 533.1
    • 官方有下载地址的亲~,百度一下就有了哦~
      凶恶的方块2015-07-30 12:35 回复 Windows XP | Chrome 43.0.2357.134
  2. avatar
    你好站长,不提供软件来练习的话 和没看有什么分别??
    星空2015-07-29 21:10 回复 Windows 7 | Chrome 31.0.1650.63
    • 亲,我上面已经给出了下载链接你没看到么?
      凶恶的方块2015-07-30 10:38 回复 Windows XP | Chrome 43.0.2357.134