esp定律 od脚本简单编译.新人发帖不对请指教

fa00x

新人学习中，不对请指教，
个人学习发现 对付一般 简单壳 比如 UPX,ASPACK之类的
用popad脱壳简单快
1.od载入后，直接ctrl+f  输入 popad
2.下段f2
3.运行f9
基本就来到oep入口附近，有没有大跳，retn 之类的。单步几下就脱了。


esp定律过程
1.单步走一次
2.获取esp值（变化红色）
3.下硬件断点hr
4.运行程序
5.删除断点
6.单步2-4次到达oep

BPHWCALL      //删除所有硬件断点
BPMC              //删除内存断点
var  k              //变量存放esp值
sto                 //单步F8
mov k,esp     //将esp值给K
BHWS k, "r"  //下硬件断点
run               //运行
BPHWC k     //删除硬件断点
sto              //单步
sto
sto
sto
cmt eip, "程序oep"  //在oep处标注
ret                //结束        

fa00x

od断点命令
BP 表达式 {条件}-------在地址处设置 INT3断点
BPX  标号-----
   在前模块内部的每个调用外部标号 处设置断点
BC  表达式 ---------删除地址处的断点
MR 表达式1，{表达式2}--
         设置访问范围的内存断点
MW  表达式1，{表达式2}--------
           设置 写入范围的内存断点
MD  -----------移除内存 断点
HR 表达式 ------
       在访问地址处设置一个字节的硬盘断点
HW  表达式----------
      在写入地址处设置一个字节的硬盘断点
HE 表达式  -----------
      在执行地址设置硬件断点
HD 表达式  -----------------
      移除地址处的硬件断点

总看到大牛用什么hr bp下断点，找了一下。作为新人的我分享给新人的你。嘎嘎。

fa00x

叫我屌炸天 发表于 2015-12-29 12:52
楼主是大神，收徒弟么。

我也是新人。各种新。就是学习中。你也可以。慢慢来

fa00x

1906 发表于 2015-12-29 13:09
一般能用ESP定律脱的壳 直接用脱壳机应该就没问题吧  不用手动那么麻烦

这不学习中，手动还是有感觉，机器一下完善了，什么也不知道。

fa00x

叫我屌炸天 发表于 2015-12-29 13:13
我也看了几百集教程了，现在破中级软件以下无压力。只是想和你交个朋友而已 一起进步

我还没到几百集的地步，只是看了一些。我也得想你学习。咋了没事加个好友。一起玩

fa00x

fa00x 发表于 2015-12-29 14:41
我还没到几百集的地步，只是看了一些。我也得想你学习。咋了没事加个好友。一起玩

我还没到几百集的地步，只是看了一些。我也得想你学习。咋了没事加个好友。一起玩破解。
我那多还没看呢。这两天就看小生我怕怕以前的教程了。

njit214

楼主好牛，都看了几百集了，我才刚看xiimo的