学习ximo视频脱NSP壳的一点感悟
本帖最后由 玛朵布莎辞 于 2016-8-6 11:07 编辑首先,我尝试了一下ESP定律、内存镜像、还有单步跟踪,以及神奇的at GetVersion这个命令,就我个人而言,ESP定律最好用,为什么呢,因为在ESP设置数据窗口跟随,然后在数值处下断之后,
运行程序直接就可以来到popad出栈口,紧接着一个跳转就是OO412DC处,也就是真正的OEP处,但是如果使用内存镜像
程序就会跑到003F043A 881C01 mov byte ptr ds:,bl,这样之后再单步跟进去就会比较繁琐,为什么说繁琐,请继续往下看图,,在
此处有一个CALL如果继续F7单步就会跟到这个CALL里面,至于为什么因为我是刚学,并不懂原理,跟进去之后地址就变化了
,地址会变成7C809B74 >8BFF mov edi,edi ; QQ个性网.00432CAC ,
这样之后你需要很多耐心继续往下F7单步,直到重新回到OO3开头的地址,根据我的测试需要有两次CALL跟进跟出然后才能到达程序真正的OEP处
。,
这里也有点让新手搞不懂的就是有个loop,根据ximo教程里说的“此处是一个循环”。
最后综上所述,我作为一个新手推荐大家使用ESP定律法,内存镜像可能不太合我这种新手,希望大家给点意见,谢谢。
内存镜像 属于一种比较方便的寻找OEP的方法 。
在脱加密壳当中 会被经常用到, 脱到加密壳,你就会知道esp的局限性了 学些了,谢谢你的分享 学习中有同感 知道了原理,简单。不知道原理,难! 我也是刚开始学,看过了老师的教程感觉明白了点什么,再看到你的心得,忽然觉得确实明白了不少,谢谢 脱强壳。你会发现下函数断点很好用。 学习了楼主的脱壳过程 正在学习脱壳中
页:
[1]