织梦CMS - 轻松建站从此开始!

罗索实验室

当前位置: 主页 > 流媒体开发 > 大杂烩 >

ESP 定律脱16种壳大全

罗索客 发布于 2008-06-06 11:36 点击:次 
ESP 定律:就是加载程序后 F8单步运行 第一个变化的 ESP 值,右击寄存器上 ESP 在转存中跟随,在内存地址上 选中前四个,右击,断点,硬件访问,word F9,中断,....返回。
TAG:

关于 ESP 脱壳找 EOP
ESP 定律:就是加载程序后 F8单步运行 第一个变化的 ESP 值,右击寄存器上 ESP 在转存中跟随,在内存地址上 选中前四个,右击,断点,硬件访问,word F9,中断,....返回。
(D 12ffc0 选四个下硬件写入 dword) 我的其它小记
1. Aspcak 方法:
ESP+6175(Sb) POPAD JMP
2. UPX 方法:
S 0000 The First JMP
变种
ESP+S (60E9)
0040EA0E 60 PUSHAD
0040EA0F - E9 B826FFFF JMP chap702.004010CC
3. PECompact 1.68 - 1.84
ESP
Or 注意 第一个 PUSH XXXX XXXX+基址(400000)=EOP
4. EZIP 1.0 方法:
ESP
5. JDPack 1.x / JDProtect 0.9
ESP+S(6150)
0040E3F8 894424 1C MOV DWORD PTR SS:[ESP+1C],EAX
0040E3FC 61 POPAD
0040E3FD 50 PUSH EAX
0040E3FE C3 RETN
0040E3FF 23E8 AND EBP,EAX
6. PE Pack 1.0
ESP+S (61ff)
0040D26F 61 POPAD
0040D270 FFE0 JMP EAX
7. WWPack32 1.x
ESP
8. PEDiminisher 0.1
ESP+S(FFE0) or S(JMP EAX)
0041708D 5D POP EBP
0041708E 5F POP EDI
0041708F 5E POP ESI
00417090 5A POP EDX
00417091 59 POP ECX
00417092 5B POP EBX
00417093 - FFE0 JMP EAX
9. DxPACK V0.86
ESP+S(JMP EAX or 61ffe0)
0040D163 61 POPAD
0040D164 - FFE0 JMP EAX
10. PKLITE32 1.1
F8 5 次来到 EOP
11. 32Lite 0.03a
ESP 往下找到
PUSH EAX
50c3 or PUSH EAX
003780F4 50 PUSH EAX
003780F5 C3 RETN
来到
0041C53C FF96 84B50100 CALL DWORD PTR DS:[ESI+1B584]
0041C542 61 POPAD
0041C543 - E9 0848FFFF JMP QEDITOR.00410D50
注意:先用 LoadPE 转存 Olldbg 加载的那个加壳文件,退出,运行加壳后的文件,RecImport 修正 EOP 修复抓取文件到 DUMP 的那个文件。
12. VGCrypt PE Encryptor V0.75
ESP 安 F9(断点开始),地址-1=EOP
13. PC Shrinker 0.71
ESP
00142BA8 BA CC104000 MOV EDX,4010CC
00142BAD FFE2 JMP EDX
14. Petite2.2
1. D 12ffa0
3 下 F9
来到 EOP=地址-1
2. ESP 两下 同上
15. EXE Stealth2.72
ESP+S()
0040D49F 8B9D B62F4000 MOV EBX,DWORD PTR SS:[EBP+402FB6]
0040D4A5 039D BA2F4000 ADD EBX,DWORD PTR SS:[EBP+402FBA]
将堆栈中值10cc+400000=4010cc 得出记事本的Oep. 加壳软件的oep.
0040D4AB C1CB 07 ROR EBX,7
注明:
例子: ESP+S (60E9)
后面 S 是搜索的意思,里面为搜索内容,可能是 Ctrl+F 的也可能是 Ctrl+B
反正大家是聪明人 一看就知道了~•
普通壳的脱壳方法和脱壳技巧,叫新手少走弯路!
普通壳的脱壳方法和脱壳技巧,叫新手少走弯路
这篇文章,是我在之前在自学脱壳的时候,在笔记本是所做的脱壳总结;里面包括了各种壳的脱壳方法,最重要的是注释了什么壳用什么方法脱是最省时省力的
方法。毕竟是一篇笔记,所以在顺序是或许会有些杂乱无章的感觉。还是请刚接触脱壳的朋友们将就一下,一个一个字的把它从笔记本是移到电脑上也不容易。
首先,先对下文中将要讲到的几个地方做一下说明,避免一些刚接触脱壳的朋友因为不清楚它们的意思,而把时间花费在baidu和google上。
常见脱壳知识:
1.PUSHAD (压栈) 代表程序的入口点
2.POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个,说明OEP可能就在附近
3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP),
只要我们找到程序真正的OEP,就可以立刻脱壳。
脱壳的几种方法:
方法一:单步跟踪
方法二:ESP定律脱壳
方法三:内存跟踪
方法四:跟踪出口法
方法五:最后一次异常法
方法六:懒人脱壳法
上面这些方法具体的操作我会在最后,在文章的最下面给出。想要具体了解的可以去看下,不过最后再看这个也是可以的。可以节省大家的时间。 第二部分,需要注意的几处重点
ESP脱壳时,对于有关键提示的(如:Pushw 或 Pushad ),一般选择关键提示下面那行地址中的ESP。
懒方法脱壳,这种方法对压缩壳有效;对加密壳作用不大。
“懒方法脱壳“在已开始的设置时需要注意(简化的设置步骤,详细的在文章最下面):
1、首先,要忽略所有异常 //忽略所有异常——这个是必须的
2、设置:”调试选项“→”SFX“→”字节模式跟踪实际入口(速度非常慢)“
3、载入相关程序。 //当载入后的程序停止后,所停址的那个地址就是我们Dunp加壳文件的那个地址
Hr命令:”hr“下的是字节断点。用ESP脱壳时,多数都是用的这个。
第三部分,笔记正文----这篇文章的骨干部分!
第一节 手脱EZIP 1.0 的壳
因为这个壳会修改PE头 用OD脱壳后即使修复了也不能运行。所以最简单的方法是采用 LordPE 这个工具脱壳。具体步骤:
首先,运行目标软件程序(不是用OD,而是想像平时使用一样,双击打开)→从 LordPE 列表中选中目标程序的进程→点”鼠标右键“ 选择”完整脱壳“。最后用 ImportREC 进行修复。
第二节 手脱wwpack 的壳
这个壳跟上面说的 EZIP 1.0 的壳一样,OD脱壳 ImportREC 进行修复 程序还是无法运行。所以还是要用 LordPE 进行脱壳工作。
具体步骤 : 从 LordPE 列表中选中目标程序的进程→点”鼠标右键“ 选择”完整脱壳“。最后用 ImportREC 进行修复 。发现还是不能运行!
最关键的地方到了:用 LordPE 这个软件自带的重建 PE 修复功能;重建PE头,重建后,即可运行!
第三节 手脱 UPX 壳的捷径
用我们已开始提到的”关键提示“。
具体操作:OD载入程序后,直接Ctrl+F,输入 POPAD ;点确定后 来到这个命令所在的位置。按F2,在这个地方下断;再按F9(运行);停止后,按F2取消刚才下的断点。再F8单步!
第四节 手脱 ASPCK 的壳
脱这个壳用ESP定律,还是相对快捷的。可以用载入程序后,第二行(是一个CALL)那里面的ESP。 //多数程序这个壳的第二行都是一个CALL
在左OD左下角的命令行中,输入命令:hr ESP地址(如 hr 0012FFA4);F9 运行。然后从OD”调试菜单“中的”硬件断点“这一项将刚才下的断点删除,这点很重要!最后F8单步!
第五节 用 内存镜像法 手脱FSG 1.33 和 PCshrink 的壳
1、忽略所有异常
2、Alt+M 打开内存镜像,找到第一个 ”.rsrc“
3、F2(下断),F9(运行)
4、Alt+M 打开内存镜像,找到”Code“段;
5、F2(下断),Shift+F9【这点一定要记住,切记是 Shift+F9】运行;
6、先按F8,再按下F4,直接到达OEP
第六节 手脱 JDpack 壳 和 PEpack 1.0 的壳 最简单的方法
脱这个壳推荐使用内存镜像法;
我在用ESP脱壳的时候发现:ESP定律的速度和单步跟踪的速度差不多,所以在这里就不推荐了。相反,脱 PEpack 1.0 壳 的时候,用ESP定律是最快捷的方法。
第七节 手脱 PEDiminisher ;Dxpack 0.86 ;32lite 0.03a ;PEtite 2.2 这几种壳的简单方法
脱PEDiminisher ;Dxpack 0.86 ;这两种壳的时候,直接用之前讲到的ESP定律,即可完美脱壳。命令:【hr ESP地址】
用ESP脱 32lite 0.03a 后 要注意的是,需要用 ImportREC 这个工具进行修复。如:00410D50 在输入框中输入 10D50 就可以了 【004舍去】
在用ESP定律脱 PEtite 2.2 的时候,推荐选择 Pushad 下面那行地址中的 ESP
第八节 手脱 Exestealth 2.72 的壳
看到这或许大家会沉迷与ESP定律当中,在这里提醒大家:Exestealth 2.72 的壳 用我们一开始提到的”懒方法脱壳“是最简单的;具体步骤,可以参考文章第二部分。
第九节 手脱nspack(北斗)1.3 的壳
1、ESP定律,命令:hr ESP地址 【脱壳后程序不能正常运行】
2、用 ImportREC 这个工具进行修复,修复后程序正常运行。
第十节 另类方法脱 ASPack 2.12R 壳的技巧
Ctrl+S 搜索:retn 0C【retn和零C 中间有个空格】 找到后向下看,如下:
retn 0C
push 0 //在 retn 0C 的下面
retn //在这个地方按 F2(下断) ;F9(运行)

停止后[FS:PAGE]按 一下 F8(单步);再按一下 F7(跟进) 观看这看不懂?没关系,要是我,我也看不懂,所以我早有准备;详细步骤,如下(这是某程序的一部分):

程序中断后来到这里:

0046B3B8 C2 oc00 retn 0C //开始F8(单步)
0046B3B9 68 64584500 push registra.00455864 //这里调用来自 00455864 (OEP)
0046B3C0 C3 retn //F7(跟进) 步入到OEP
注意:这种壳ESP不能直接脱。
脱壳的几种方法 详细操作步骤
常见脱壳知识:
1.PUSHAD (压栈) 代表程序的入口点
2.POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个,说明OEP可能就在附近
3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP),
只要我们找到程序真正的OEP,就可以立刻脱壳。
方法一:单步跟踪
1.用OD载入,不分析代码!
2.单步向下跟踪F8,是向下跳的让它实现
3.遇到程序往回跳的(包括循环),我们在下一句代码处按F4(或者右健单击代码,选择断点——运行到所选)
4.绿色线条表示跳转没实现,不用理会,红色线条表示跳转已经实现!
5.如果刚载入程序,在附近就有一个CALL的,我们就F7跟进去,这样很快就能到程序的OEP
6.在跟踪的时候,如果运行到某个CALL程序就运行的,就在这个CALL中F7进入
7.一般有很大的跳转,比如 jmp XXXXXX 或者 je XXXXXX 或者有RETE的一般很快就会到程序的OEP。
我们看看能不能运行,可以运行,是Microsoft Visual Basic 5.0 / 6.0的程序
下面我们看第二种方法
方法二:ESP定律脱壳(ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了)
1.用Od载入后就按F8,注意观察OD右上角的寄存器中ESP有没出现
2.在命令行下:dd 0012FFA4(0012FFA4指在当前代码中的ESP地址),按回车!
3.选种下断的地址,下硬件访问WORD断点。
4.按一下F9运行程序,直接来到了跳转处,按下F8,到达程序OEP,脱壳 
可以运行,说明我们脱壳成功,下面看第三种方法
方法三:内存跟踪:
1:用OD打开软件!
2:点击选项——调试选项——异常,把里面的忽略全部勾上,CTRL+F2重新加载程序
3:按ALT+M,打开内存镜象,找到第一个.rsrc.按F2下断点,然后按SHIFT+F9运行到断点,接着再按ALT+M, 打开内存镜象,找到.RSRC上面的CODE,按F2下断点,然后按SHIFT+F9,直接到
达程序OEP,脱壳
不知道为什么我这台电脑不是直接到达oep,可能是系统问题,我这里还要向下单步几次
同样可以运行,看下面一种方法
方法四:跟踪出口法
一步到达OEP(前辈们总结的经验)
1.开始按Ctrl+F,输入:popad(只适合少数壳,包括ASPACK壳),然后按下F2,F9运行到此处
2.来到大跳转处,点下F8,脱壳
可以运行,看下一种方法
方法五:最后一次异常法 (这种脱壳方法在我这台电脑上无法演示,可能是因为系统问题吧,不过大家跟着下面的步骤做就可以找到OEP了)
1:用OD打开软件
2:点击选项——调试选项——异常,把里面的勾全部去掉,CTRL+F2重新加载程序
3:在这里我们按SHIFT+F9,直到程序运行,记下从开始按SHIFT+F9到程序运行的次数
4:CTRL+F2重新加载程序,按SHIFT+F9(次数为程序运行的次数-1次)
5:在OD的右下角我们看见有一个SE 句柄,这时我们按CTRL+G,输入SE 句柄前的地址!
6:按F2下断点,然后按SHIFT+F9来到断点处!
7:去掉断点,按F8慢慢向下走
8:到达程序的OEP,脱壳
最后一种方法
方法六:懒人脱壳法 (由于这种脱壳方法速度比较慢,这里我就不再演示了,大家跟着下面的步骤就可以找到oep了)
1、用od载入软件
2、点击选项——调试选项——SFX
3、选中“字节方式跟踪真正入口处(速度非常慢)”
4、重新载入软件
5、od开始自动跟踪入口点
6、直接到达oep,脱壳(适用于少数壳)
好了,到这里,这篇文章就算告一段落了,很多地方还有待修正。
希望能给刚接触脱壳的朋友一些帮助,同时希望前辈们批评指正。

(ixmy)
本站文章除注明转载外,均为本站原创或编译欢迎任何形式的转载,但请务必注明出处,尊重他人劳动,同学习共成长。转载请注明:文章转载自:罗索实验室 [http://www1.rosoo.net/a/200806/6974.html]
本文出处:网络博客 作者:ixmy
顶一下
(1)
50%
踩一下
(1)
50%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片
栏目列表
将本文分享到微信
织梦二维码生成器
推荐内容