第17课 esp脱壳法
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第17课esp脱壳法
〔例1〕脱壳UnPackMe_EZIP1.0.exe
载入后,按2次F8,看到esp变红,发生了变化,由12FFC4变为12FFC0,如图:
鼠标点住esp,在数据窗口跟随,如图:
在数据窗口中,点选两个数,鼠标右键下硬件访问断点→Word(或点选四个数,鼠标右键下硬件访问断点→Dword):
点按钮运行程序,被断
命令行口输入hd,回车。
弹出“硬件断点”窗口,删除硬件断点
F8走一下,来到oep
用ollydump插件dump即可,注意不要勾选“重建输入表”。如图:
与上一课的相对比,可以发现这种方法速度极快,可以秒杀。
〔例2〕脱壳crackme.UPX$hit-0.0.1.exe
载入后,按4下F8,向上跳,小循环,鼠标点住下一行按F4,如图:
继续几下F8,向上跳,小循环,鼠标点住下一行按F4,如图:
看到pushad,比较敏感,ESP的值变红,发生变化
鼠标点住esp,在数据窗口跟随,如图:
在数据窗口中,点选两个数,鼠标右键下硬件访问断点→Word(或点选四个数,鼠标右键下硬件访问断点→Dword):
点按钮运行程序,被断
命令行口输入hd,回车。
弹出“硬件断点”窗口,删除硬件断点
F8走一下,来到oep
用ollydump插件用默认设置dump即可。