学破解のESP定律
ESP定律法的步骤 ESP定理脱壳(ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了!)(1)开始就点F8,注意观察OD右上角的寄存器中ESP有没突现(变成红色)(这只是一般情况下,更确切的说我们选择的ESP值是关键句之后的第一个ESP值)(2)在命令行下:dd XXXXXXXX(指在当前代码中的ESP地址,或者是hr XXXXXXXX),按回车(3)选中下断的地址,断点--->硬件访--->WORD断点(4)按一下F9运行程序,直接来到了跳转处,按下F8,到达程序OEP 实战1 查壳用PEID查壳的结果如下图,可以看出程序加了ASPack2.12的壳http://my.csdn.net/uploads/201206/10/1339302161_1373.png2 寻找OEP(1)用OD载入该程序http://my.csdn.net/uploads/201206/10/1339302184_8523.png
(2)按下F8单步步过,发现ESP此时是红色,记下此时ESP寄存器中的值0012FF6C(载入程序处的下一个ESP是红色,当然每个人机器上运行这个值有可能不同)http://my.csdn.net/uploads/201206/10/1339302205_7281.png
(3)在命令行下输入dd 0012FF6C,然后按下回车键http://my.csdn.net/uploads/201206/10/1339302227_3588.png
(4)选中要下断点的0012FF6C那行,依次选择断点 -> 硬件访问 -> Wordhttp://my.csdn.net/uploads/201206/10/1339302242_5131.png
(5) 在菜单栏调试(D)下的硬件断点(H)下选项下可以看到我们设置的硬件断点http://my.csdn.net/uploads/201206/10/1339302256_9978.png
(6)然后按下F9运行程序,运行到程序停止http://my.csdn.net/uploads/201206/10/1339302271_8982.png
(7)删除前面下的硬件断点,选择调试(D)下的硬件断点(H),弹出如下对话框,点击删除1按钮删除前面下的硬件断点http://my.csdn.net/uploads/201206/10/1339302287_9269.png
(8)运用F8很快会到达程序的OEP(此时需要使用F8单步步过)http://my.csdn.net/uploads/201206/10/1339302315_1836.png
3 脱壳可以使用OD自带插件,也可以用LordPE。
简约、 发表于 2015-7-1 15:04
哇塞,回了三年还没升级
是啊以前账号注册了一直就放着做伸手党在现在决心好好学习好好升级了呗 啊啊啊 发表于 2015-7-1 15:06
是啊以前账号注册了一直就放着做伸手党在现在决心好好学习好好升级了呗
来,一起,干{:301_988:} 沙发是我的{:301_999:} 楼主是在做笔记别打扰他好好学习 天天向上 啊啊啊 发表于 2015-7-1 15:00
楼主是在做笔记别打扰他好好学习 天天向上
哇塞,回了三年还没升级{:301_993:} 我现在一看到esp就以为是透视 为什么楼上说esp是透视啊? doka2012 发表于 2015-7-1 15:11
我现在一看到esp就以为是透视
哪看来的。。。那是D3D透视。。。 简约、 发表于 2015-7-1 15:23
哪看来的。。。那是D3D透视。。。
esp 国外就是透视的意思