【学习笔记】脱壳入门
本学习笔记是根据ximo老师的教学视频自我凝练总结而成,目的是为了巩固所学+方便以后忘记了查阅。————————————————————————————————————————————————
UPX脱壳有两大步骤:
一:寻找入口点
四个方法,但是所依据的底层原理都是一样的~
- 1.ESP定律:运行了pushad之后,esp的值会发生变化,由于堆栈平衡,之后还会运行与变化了的esp值相关的代码。所以,在esp值所指向的位置下硬件断点,然后运行到断点触发后(记得删除断点),单步走,直至看到入口点。
- 2.双内存镜像:起初,在本进程的Memory当中找本进程的.rsrc内存,下断点(F2),运行至触发断点,删除断点。再在UPX.0的那个内存上下断点,再运行至断点处。
- 3.顺序往下:让程序往下执行。配合F8(执行该条命令)和F4,要求就是,遇到call指令或者向上跳转的指令,在其下一跳指令处按F4(执行到此处),然后就走一步看一步,直至遇到大的跳转(经验谈)。
- 4.搜索法:运行到pushad的时候,搜索popad的指令,并且执行到popad处。然后就开始一步一步的看。
二:dump转储
由于我每次都找不到ollyDBG上面的按钮,所以我上传图片。 lijihong555 发表于 2024-3-2 00:31
请问文件在哪里下载呀
我也想学习,跟着做
就是http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E8%A7%86%E9%A2%91%E6%95%99%E7%A8%8B/ximo%E8%84%B1%E5%A3%B3%E5%9F%BA%E7%A1%80.7z 您下载这个链接就可以啦,ximo老师讲的很细节哦
WJayden留下了新手学习脚印 每天坚持学一点 前天学后天忘…… 谢谢分享 学习下方法,自己试验 谢谢楼主的分享,我参考学习一下! 这种和我理解的查不多,但是像一些其他的壳就很难了,比如VMP啥的 w759003376 发表于 2024-2-28 09:31
这种和我理解的查不多,但是像一些其他的壳就很难了,比如VMP啥的
是的,还没总结后面的呢 请问文件在哪里下载呀
我也想学习,跟着做
页:
[1]
2