存档

文章标签 ‘ESP’

[转]寻找真正的入口(OEP)——广义ESP定律

2011年3月21日 2 条评论

寻找真正的入口(OEP)——广义ESP定律

  • 作者:Lenus
  • FROM: poptown.gamewan.com/bbs
  • E-MAIL:Lenus_M@163.com

1.前言
在论坛上看到很多朋友,不知道什么是ESP定律,ESP的适用范围是什么,ESP定律的原理是什么,如何使用ESP定律?看到了我在
http://poptown.gamewan.com/dispbbs.asp?boardID=5&ID=54&page=1
调查结果发现,大家对ESP定律很感兴趣,当然因为[......]

继续阅读

分类: 逆向调试 标签: , , ,

PECompact 2.x -> Jeremy Collake脱壳

2011年3月20日 没有评论

看到网上有用SEH脱壳的,看的不是很明白(最主要还是讲的很不明白,然后很多人千篇一律的转载,所以就看不明白了)。另外还有看到用ESP脱壳的,这个比较好理解(ESP定律就那么一个套路,不懂的请看《ESP定律脱壳》一文)。
首先,对目标程序用PEiD查壳,提示PECompact 2.x -> Jeremy Collake,然后OD载入,OD会提示数据有加密或者压缩,点击否。然后OD断下的代码大概如下:

00401000 > B8 D09A6D00 MOV EAX,Waterm[......]

继续阅读

分类: 逆向调试 标签: , , ,

ESP定律脱壳

2011年3月18日 11 条评论

ESP定律脱壳,很容易上手,网上也有这方面的视频教程,看一个就知道了。不过对于ESP定律的原来,暂时不去研究。看雪论坛上面很有多讨论这个问题的帖子,有兴趣的朋友可以自己去找找看。本人对ESP定律该在何时使用也很迷茫中。
ESP定律的大概步骤:
OD载入加壳程序,然后当popad执行之后,观察ESP的值,然后跟踪ESP的值在内存中的位置,对那个地方进行下断点(word的硬件访问断点)。接着F9,来到断点处,之后F8,当ret/retn到某一个地方的时候,就是OEP了。
文字描述可能不太清楚,下面贴[......]

继续阅读

分类: 逆向调试 标签: , , ,