吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 1287|回复: 5
收起左侧

[求助] 程序找OEP的问题

[复制链接]
朱朱你堕落了 发表于 2022-12-26 21:12
400吾爱币
本帖最后由 朱朱你堕落了 于 2022-12-26 23:22 编辑

放入OD,第一处肯定是壳的入口点:

壳的入口点.png

程序OEP处:
程序OEP处.png

那么肯定在到OEP前一步,有一个跳,跳到了OEP,这个OEP怎么找,用od的trace能不能找到?把trace走的每一步都保存到TXT里,分析这个TXT, 感觉方法可行,但是试了一下,并没有找到,
是方法不对,但是这种肯定不可行?

就是说,现在我已经提前知道了OEP了,我直接在OEP这里下了硬件执行断点,程序走到OEP处肯定要断下来,不走了。那么在走到OEP的前一步,肯定是跳到OEP处的这么一个指令存在。
问,能不能用OD自身的这个能力跟踪出来?

附件网盘: https://cowtransfer.com/s/21d99863f50345

最佳答案

查看完整内容

这个方法需要确定是多少次可以到达代码段(对这个程序应该是44次),然后重新用OD加载程序, F7 一次,再下hr esp,之后运行程序43次,再单步F7,就可以找到跳转地址了

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

fq3803 发表于 2022-12-26 21:12
朱朱你堕落了 发表于 2022-12-27 10:56
hr esp方法(壳的入口为pushad,然后F7,再下hr esp断点,多次也可以找到OEP的,也可找到跳转,
0426E7A  ...

这个方法需要确定是多少次可以到达代码段(对这个程序应该是44次),然后重新用OD加载程序,
F7 一次,再下hr esp,之后运行程序43次,再单步F7,就可以找到跳转地址了
wgz001 发表于 2022-12-26 22:00
最近研究上脱壳了啊,666
到OEP才是第一步
FFF的注册机一般都是这个壳

免费评分

参与人数 1吾爱币 +3 热心值 +1 收起 理由
朱朱你堕落了 + 3 + 1 什么都不会,实在是不知道学什么,我就是瞎学。王哥带我飞!

查看全部评分

woflant 发表于 2022-12-26 23:50
像一般的壳,可以通过断VirtualProtect函数,因为大部分壳解密都会涉及到区段改写,需要修改区段内存属性

查看VirtualProtect函数断下次数,记录最后一次,手动跟踪,普通壳分析一会就能跟到OEP

根据分析思路,转换成OD脚本

这个壳有IAT加密,直接莽着修复IAT破坏处汇编会踩坑,因为还有部分IAT没有加密
fq3803 发表于 2022-12-27 09:47
理论上来说,可以通过OD自身跟踪功能,来找出OEP的。但实际上,由于时间原因,跟踪文件的大小的原因等,可能你跟踪不下去了。
实际上,这个壳ACP这个壳可以用两次内存断点法来查找 OEP的,或者用hr esp方法(壳的入口为pushad,然后F7,再下hr esp断点,多次也可以找到OEP的,也可找到跳转,
0426E7A  - FF25 BC6E4200   jmp dword ptr ds:[426EBC] )。

点评

hr esp方法(壳的入口为pushad,然后F7,再下hr esp断点,多次也可以找到OEP的,也可找到跳转, 0426E7A - FF25 BC6E4200 jmp dword ptr ds:[426EBC] )。 试了下这个方法,还是没有找到00426E7A 这个位置,应  详情 回复 发表于 2022-12-27 10:56
 楼主| 朱朱你堕落了 发表于 2022-12-27 10:56
fq3803 发表于 2022-12-27 09:47
理论上来说,可以通过OD自身跟踪功能,来找出OEP的。但实际上,由于时间原因,跟踪文件的大小的原因等,可 ...

hr esp方法(壳的入口为pushad,然后F7,再下hr esp断点,多次也可以找到OEP的,也可找到跳转,
0426E7A  - FF25 BC6E4200   jmp dword ptr ds:[426EBC] )。

试了下这个方法,还是没有找到00426E7A 这个位置,应该是我方法不对,麻烦闲暇时录个Gif动画简单演示下就行。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-24 01:41

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表