网站 › ≮ 软件脱壳 ≯ › 刚学会用ESP定律脱壳

moujin 发表于 2007-5-30 16:22:57

跟著做，跟著學

vvlaw 发表于 2007-5-30 19:46:32

我F9后到这里

004053B0   /75 08         JNZ SHORT 11FC.004053BA//f9 到这里，然后f8直接到004053BA
004053B2   |B8 01000000   MOV EAX,1
004053B7   |C2 0C00         RETN 0C
004053BA   \68 FC114000   PUSH 11FC.004011FC //f8单步直接到这里？
004053BF    C3            RETN//接着f8，

居然跳到这里了？

004011FC      68            DB 68                                    ;CHAR 'h'
004011FD      90            DB 90
004011FE      1C            DB 1C
004011FF      40            DB 40                                    ;CHAR '@'
00401200      00            DB 00
00401201      E8            DB E8
00401202      F0            DB F0
00401203      FF            DB FF

为什么会跳到这里而不是程序的oep？有人知道么？

bhcjl 发表于 2007-5-31 15:17:40

这个还是比较简单的

bhcjl 发表于 2007-5-31 15:21:07

这个还是比较简单的

yang15363 发表于 2007-6-13 11:26:56

004011FC    68 901C4000   push 11FC.00401C90       跳到这里了。右键 "脱壳在当前调试的进程 "取个名字 保存下。至此完美脱壳。



刚学脱壳，很多教程都只是讲了到此完美脱壳，正不知该怎么办，今天学到了具体方法。谢谢分享，使我等菜鸟少走了许多弯路。

xiaoxiao33 发表于 2007-6-13 11:57:00

好教程 适合新手

kangroo 发表于 2007-6-15 14:04:03

原帖由 vvlaw 于 2007-5-30 19:46 发表 https://www.chinapyg.com/images/common/back.gif
我F9后到这里

004053B0   /75 08         JNZ SHORT 11FC.004053BA//f9 到这里，然后f8直接到004053BA
004053B2   |B8 01000000   MOV EAX,1
004053B7   |C2 0C00         RETN 0C
004053BA   \68 ...
你确实是到了OEP ，只要在反汇编界面中右键 ->分析->从模块删除分析 就能看到常见的入口点了

dychly 发表于 2007-7-6 22:11:33

原帖由 kangroo 于 2007-6-15 14:04 发表 https://www.chinapyg.com/images/common/back.gif

你确实是到了OEP ，只要在反汇编界面中右键 ->分析->从模块删除分析 就能看到常见的入口点了
我正奇怪我的怎么不一样呢?现在明白了

万能 发表于 2007-8-4 10:05:47

哈哈，脱壳完成~~ 我记得原来有个什么 dd xxxxxx这是干什么的？

DecoderEx_ 发表于 2007-8-11 21:54:18

怎么看esp的值，确定是否试用esp定律
/:010 我每次还要看其他的寄存器，为什么入栈的时候esp会变红？

[ 本帖最后由 DecoderEx_ 于 2007-8-11 22:01 编辑 ]

查看完整版本: 刚学会用ESP定律脱壳