esp定律 od脚本简单编译.新人发帖不对请指教
本帖最后由 fa00x 于 2015-12-29 12:16 编辑新人学习中,不对请指教,
个人学习发现 对付一般 简单壳 比如 UPX,ASPACK之类的
用popad脱壳简单快
1.od载入后,直接ctrl+f输入 popad
2.下段f2
3.运行f9
基本就来到oep入口附近,有没有大跳,retn 之类的。单步几下就脱了。
esp定律过程
1.单步走一次
2.获取esp值(变化红色)
3.下硬件断点hr
4.运行程序
5.删除断点
6.单步2-4次到达oep
BPHWCALL //删除所有硬件断点
BPMC //删除内存断点
vark //变量存放esp值
sto //单步F8
mov k,esp //将esp值给K
BHWS k, "r"//下硬件断点
run //运行
BPHWC k //删除硬件断点
sto //单步
sto
sto
sto
cmt eip, "程序oep"//在oep处标注
ret //结束
od断点命令
BP 表达式 {条件}-------在地址处设置 INT3断点
BPX标号-----
在前模块内部的每个调用外部标号 处设置断点
BC表达式 ---------删除地址处的断点
MR 表达式1,{表达式2}--
设置访问范围的内存断点
MW表达式1,{表达式2}--------
设置 写入范围的内存断点
MD-----------移除内存 断点
HR 表达式 ------
在访问地址处设置一个字节的硬盘断点
HW表达式----------
在写入地址处设置一个字节的硬盘断点
HE 表达式-----------
在执行地址设置硬件断点
HD 表达式-----------------
移除地址处的硬件断点
总看到大牛用什么hr bp下断点,找了一下。作为新人的我分享给新人的你。嘎嘎。 叫我屌炸天 发表于 2015-12-29 12:52
楼主是大神,收徒弟么。
我也是新人。各种新。就是学习中。你也可以。慢慢来 1906 发表于 2015-12-29 13:09
一般能用ESP定律脱的壳 直接用脱壳机应该就没问题吧不用手动那么麻烦
这不学习中,手动还是有感觉,机器一下完善了,什么也不知道。 叫我屌炸天 发表于 2015-12-29 13:13
我也看了几百集教程了,现在破中级软件以下无压力。只是想和你交个朋友而已 一起进步
我还没到几百集的地步,只是看了一些。我也得想你学习。咋了没事加个好友。一起玩 fa00x 发表于 2015-12-29 14:41
我还没到几百集的地步,只是看了一些。我也得想你学习。咋了没事加个好友。一起玩
http://www.52pojie.cn/forum.php?mod=image&aid=585889&size=300x300&key=8df39e0c05d20f70&nocache=yes&type=fixnone我还没到几百集的地步,只是看了一些。我也得想你学习。咋了没事加个好友。一起玩破解。
我那多还没看呢。这两天就看小生我怕怕以前的教程了。
楼主好牛,都看了几百集了,我才刚看xiimo的
页:
[1]
2