刚学会用ESP定律脱壳

moujin

跟著做，跟著學

vvlaw

我F9后到这里

004053B0   /75 08           JNZ SHORT 11FC.004053BA  //f9 到这里，然后f8直接到004053BA
004053B2   |B8 01000000     MOV EAX,1
004053B7   |C2 0C00         RETN 0C
004053BA   \68 FC114000     PUSH 11FC.004011FC //f8单步直接到这里？
004053BF    C3              RETN  //接着f8，

居然跳到这里了？

004011FC      68            DB 68                                    ;  CHAR 'h'
004011FD      90            DB 90
004011FE      1C            DB 1C
004011FF      40            DB 40                                    ;  CHAR '@'
00401200      00            DB 00
00401201      E8            DB E8
00401202      F0            DB F0
00401203      FF            DB FF

为什么会跳到这里而不是程序的oep？有人知道么？

bhcjl

这个还是比较简单的

bhcjl

这个还是比较简单的

yang15363

004011FC    68 901C4000     push 11FC.00401C90       跳到这里了。右键 "脱壳在当前调试的进程 "  取个名字 保存下。至此完美脱壳。

刚学脱壳，很多教程都只是讲了到此完美脱壳，正不知该怎么办，今天学到了具体方法。谢谢分享，使我等菜鸟少走了许多弯路。

xiaoxiao33

好教程 适合新手

kangroo

原帖由 vvlaw 于 2007-5-30 19:46 发表
我F9后到这里

004053B0   /75 08           JNZ SHORT 11FC.004053BA  //f9 到这里，然后f8直接到004053BA
004053B2   |B8 01000000     MOV EAX,1
004053B7   |C2 0C00         RETN 0C
004053BA   \68 ...

你确实是到了OEP ，只要在反汇编界面中右键 ->分析->从模块删除分析 就能看到常见的入口点了

dychly

原帖由 kangroo 于 2007-6-15 14:04 发表

你确实是到了OEP ，只要在反汇编界面中右键 ->分析->从模块删除分析 就能看到常见的入口点了

我正奇怪我的怎么不一样呢?现在明白了

万能

哈哈，脱壳完成~~ 我记得原来有个什么 dd xxxxxx这是干什么的？

DecoderEx_

怎么看esp的值，确定是否试用esp定律
/:010 我每次还要看其他的寄存器，为什么入栈的时候esp会变红？

[ 本帖最后由 DecoderEx_ 于 2007-8-11 22:01 编辑 ]