记一次用esp定律脱壳的过程

52lxw · 发表于 2018-11-9 12:50

Smoke.rar (338.17 KB, 下载次数: 66)
先用exeinfope查一下信息
$0$S0S{A{UU`T[0L~9L8_[P7.png$
发现是加了个不能识别的壳,载入od
O3JZU1]2LANQ[SX[{.png

单步到pushad处，

}AIUK(9GXB5R`E7S_]_ER@W.png

执行完pushad后,在Od下方Command里执行hr esp下硬件断点

SF0J)(9564_AN)@4V(5[]J1.png

点击运行

来到跳转oep的代码
3V}[)}IU}8FWZFUVNBJ}22Q.png

到达oep后，用lordPE dump内存,ImportRCE修复IAT
`DHFVRQMWW]OGDYJ3X@9VMB.png

然后修复IAT,先得到入口点地址529FD
V$MQHVT9YK_9LR(OAM.png

点击自动查找IAT,然后点击获取导入表

STPVJ$XIXF}S@_(E0@BWQ9I.png

最后转储到文件，就是前面dump的那个dumped.exe里面
这是脱壳之后的文件

G{YZ75@]N}41K0(R$O.png

0sprey · 发表于 2018-11-12 11:40

Lord PE 和 import REC 在win7及以上修复往往也有问题，应该是ASLR的问题。在winXP下用OD DUMP直接修复似乎也没问题，论坛里有些大神说od自带的修复很老旧容易出问题可我的却很少出问题…

0sprey · 发表于 2018-11-15 22:06

请问如何确定是否已经到达OEP了呢？OEP是有什么特征吗?
似乎在硬件断点F9以后，停下的地方常有一个jmp，这个jmp是应该步过还是步进呢？

jori · 发表于 2018-11-9 14:00

我混到现在还是不会esp定律脱壳，有机会再仿照学习一遍

lyliucn · 发表于 2018-11-9 14:14

讲的还是比较详细。

finalcrasher · 发表于 2018-11-9 14:17

感谢分享，学习了

KAKUI · 发表于 2018-11-9 15:01

技术贴支持

浮尘云烟 · 发表于 2018-11-9 22:43

学习一下

明明是我先 · 发表于 2018-11-10 17:44

不错的分享啊，感谢感谢

ytdzjun · 发表于 2018-11-10 18:22

不错的教程，感谢不藏私分享

lp212 · 发表于 2018-11-10 19:16

没点基础，啥都看不明白怎么学？

hsgzs · 发表于 2018-11-11 08:45

提示: 作者被禁止或删除内容自动屏蔽

帐号		自动登录	找回密码
密码			注册[Register]

[原创] 记一次用esp定律脱壳的过程

hsgzs hsgzs 当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽	hsgzs 发表于 2018-11-11 08:45 来自手机提示: 作者被禁止或删除内容自动屏蔽

	回复支持举报