秒入OEP!~
本帖最后由 q639656 于 2011-4-8 19:12 编辑我不知道有没有人发现这个方法(阅历不太丰富,不知道有没有这个方法),但至少我发现时非常兴奋,也试了不少壳,包括一些猛壳,都可以用这个方法快速找到OEP,我想把这个技巧独自享用,然后比别人快一步的找到OEP,好炫耀自己多厉害,但最后还是决定分享给大家,拿着宝剑就说自己是英雄没什么了不起,大家一起进步才有意义.
写这篇烂文的启发是在2005年一个大牛的文章技巧上得到的:http://bbs.pediy.com/showthread.php?threadid=10548(不过没看完)
后来我就想,既然程序从OEP下面任意一个CALL进入后,暂时性的一去不返(进入窗口循环什么的),但他的返回地址还是会在堆栈中,而这个返回地址就是和OEP在同一平面上,往上翻就能找到OEP了!
1图下面我以ZProtect.1.4.9.0.Preview.2的壳为例子
2图首先临时的给一个C++程序加了ZProtect壳
3图 然后OD载入
4 图 直接运行,然后暂停,看堆栈,从最下面往上找,是代码段的返回地址都看一下
5图 然后就发现:
6 图 删除分析
然后代码往上翻,就到OEP了,然后打开没加密过的程序,对比下就能确认
当然这个方法不是万能的,大家只要明白原理,就知道对哪些壳管用,哪些不管用,别要到时候来问我,为什么这个壳不行.....
这文章的作者是作 者: Mx¢Xgt向作者致敬 O(∩_∩)O哈哈~
图片已经补好!~~~
这个有人发过了。而且我是在黑鹰上看,不能老用这个的,要锻炼自己的能力。 额我没看到有人发。。。
看不到图的?!! zp1.49可以用esp定律秒到oep的样子吧- -。。 楼主 你的图全挂了 楼主你的图片都不显示了 补一下吧让我们新手也学习学习 楼主 图 全部断了.. 看不到图。楼主修补一下图片
页:
[1]
2