记一次用esp定律脱壳的过程
先用exeinfope查一下信息
发现是加了个不能识别的壳,载入od
单步到pushad处,
执行完pushad后,在Od下方Command里执行hr esp下硬件断点
点击运行
来到跳转oep的代码
到达oep后,用lordPE dump内存,ImportRCE修复IAT
然后修复IAT,先得到入口点地址529FD
点击自动查找IAT,然后点击获取导入表
最后转储到文件,就是前面dump的那个dumped.exe里面
这是脱壳之后的文件
Lord PE 和 import REC 在win7及以上修复往往也有问题,应该是ASLR的问题。在winXP下用OD DUMP直接修复似乎也没问题,论坛里有些大神说od自带的修复很老旧容易出问题 可我的却很少出问题… 请问如何确定是否已经到达OEP了呢?OEP是有什么特征吗?
似乎在硬件断点F9以后,停下的地方常有一个jmp,这个jmp是应该步过还是步进呢? 我混到现在还是不会esp定律脱壳,有机会再仿照学习一遍 讲的还是比较详细。 感谢分享,学习了 技术贴支持 学习一下 不错的分享啊,感谢感谢 不错的教程,感谢不藏私分享 没点基础,啥都看不明白怎么学?