对抗ESP定律

我是人民币 · 发表于 2015-7-26 13:14

前几天写壳，用到了这玩意。ESP定律是脱壳的主流手段。
主要原理是在入栈操作后对esp下访问断点（内存断点/硬件断点）。
根据上面原理，人为的访问esp内存地址就能让调试器断下来，我称之为坑。多设置几个坑，加一个循环嵌套，Cracker就会失去耐心。
坑：
mov eax,dword ptr ss:[esp] 或者类似指令。
下面是测试数据：

[Asm] 纯文本查看 复制代码

004062B0 >  60              pushad  
004062B1    90              nop   ； hr esp 下断点
004062B2    90              nop
004062B3    90              nop
004062B4    90              nop
004062B5    8B0424          mov eax,dword ptr ss:[esp]
004062B8    90              nop ；会在这里停下
004062B9    90              nop 
004062BA    8B0424          mov eax,dword ptr ss:[esp]
004062BD    90              nop ；会在这里停下
004062BE    90              nop
004062BF    90              nop
004062C0    90              nop
004062C1    90              nop
004062C2    90              nop
004062C3    90              nop
004062C4    90              nop
004062C5    CC              int3

徐先生xjmtxwd · 发表于 2015-7-26 22:36

吾爱扣扣发表于 2015-7-26 19:35
那你也得符合堆栈平衡

帅哥的意思是 ESP定律的断点会下两个NOP下停住，这样一会就有人受不了，嫌麻烦

我是人民币 · 发表于 2015-7-26 18:01

吾爱扣扣发表于 2015-7-26 13:23
VMP好像也用到这个方法。。都是假的pushad

pushad是真的，出栈操作是假的

吾爱扣扣 · 发表于 2015-7-26 13:23

VMP好像也用到这个方法。。都是假的pushad

覃黑白 · 发表于 2015-7-26 17:42

楼主多发这些~挺想看的。

吾爱扣扣 · 发表于 2015-7-26 19:35

我是人民币发表于 2015-7-26 18:01
pushad是真的，出栈操作是假的

那你也得符合堆栈平衡

XKQ · 发表于 2015-7-26 19:58

好厉害,都会写壳了

chinaboy008 · 发表于 2015-7-26 21:57

大神啊。好深奥的说

一锅粥 · 发表于 2015-7-26 22:09

看不懂啊…

sonyiii · 发表于 2015-7-26 22:12

你在挖坑，cracker们在填坑，什么时候是个头哦

帐号		自动登录	找回密码
密码			注册[Register]

[原创] 对抗ESP定律