逆向入门--何为OEP
转自: S.l.e!ep.¢% - C++博客
#初入水汇编,收集一些不错的文章
=============================
新手必须懂得什么叫OEP,以及查找的常用方式软件破解什么是oep?
original entry point 原始入口点
常见脱壳知识:1.PUSHAD (压栈) 代表程序的入口点
2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近拉!
3.OEP:程序的入口点,注意这点:软件加壳就是隐藏了OEP(或者用了假的OEP),
只要我们找到程序真正的OEP,就可以立刻脱壳。
方法一:
1.用OD载入,不分析代码!
2.单步向下跟踪F8,是向下跳的让它实现
3.遇到程序往回跳的(包括循环),我们在下一句代码处按F4(或者右健单击代码,选择断点——运行到所选)
4.绿色线条表示跳转没实现,不用理会,红色线条表示跳转已经实现!
5.如果刚载入程序,在附近就有一个CALL的,我们就F7跟进去,这样很快就能到程序的OEP
6.在跟踪的时候,如果运行到某个CALL程序就运行的,就在这个CALL中F7进入
7.一般有很大的跳转,比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETE的一般很快就会到程序的OEP。
方法二:
ESP定理脱壳(ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了!)
1.开始就点F8,注意观察OD右上角的寄存器中ESP有没出现。
2.在命令行下:dd 0012FFA4(指在当前代码中的ESP地址),按回车!
3.选种下断的地址,下硬件访问WORD断点。
4.按一下F9运行程序,直接来到了跳转处,按下F8,到达程序OEP,脱壳
方法三:
内存跟踪:
1:用OD打开软件!
2:点击选项——调试选项——异常,把里面的忽略全部√上!CTRL+F2重载下程序!
3:按ALT+M,DA 打开内存镜象,找到第一个.rsrc.按F2下断点,
然后按SHIFT+F9运行到断点,接着再按ALT+M,DA 打开内存镜象,找到.RSRC上面的CODE,按
F2下断点!然后按SHIFT+F9,直接到达程序OEP,脱壳!
方法四:
一步到达OEP(前辈们总结的经验)
1.开始按Ctrl+F,输入:popad(只适合少数壳,包括ASPACK壳),然后按下F2,F9运行到此处
2.来到大跳转处,点下F8,脱壳之!
方法五:
1:用OD打开软件!
2:点击选项——调试选项——异常,把里面的√全部去掉!CTRL+F2重载下程序!
3:一开是程序就是一个跳转,在这里我们按SHIFT+F9,直到程序运行,记下从开始按F9到程序
运行的次数!
4:CTRL+F2重载程序,按SHIFT+F9(次数为程序运行的次数-1次
5:在OD的右下角我们看见有一个SE 句柄,这时我们按CTRL+G,输入SE 句柄前的地址!
6:按F2下断点!然后按SHIFT+F9来到断点处!
7:去掉断点,按F8慢慢向下走!
8:到达程序的OEP,脱壳!
以上方法,针对不同的壳,至于OEP是什么样子,这个就不好说了,不同的语言写出来的样子就不一样,有高手能总结下OEP的样子吗???
新手朋友可以记住这几种方式,一般壳脱掉是没有什么问题的。
再用一个最幼稚的比喻来形容加壳的软件,那个带壳的软件,就是穿了衣服的人,要看它到底是男是女,就把衣服脱掉,不可能哪个生出来就穿了衣服吧,就像软件一样,写出来不可能就带壳的,都是后面加上去的。脱下来了,就一目了然了。。。不知道这个比喻形容的清楚不~~呵呵~~~
基础东西,老鸟绕过,新手要学破解的,必须掌握~~我也在学习中。。。很多壳有专用的脱法,慢慢来学,不急~~
逆向入门--何为OEP相关推荐
- 010 Android之逆向入门
文章目录 Android APK文件结构 META-INF res AndroidManifest.xml classes.dex resources.arsc lib Assets Android ...
- 【Data URL】【RE】【bugku】逆向入门writeup
在写wp之前先来了解一下Data URL是什么 Data URL 在浏览器向服务端发送请求来引用资源时,一般浏览器都有同一时间并发请求数不超过4个的限制.所以如果一个网页需要引用大量的服务端资源,就会 ...
- [BUGKU] [REVERSE] 逆向入门
[BUGKU] [REVERSE] 逆向入门 例行PEID查壳,发现不是有效的PE文件 winhex打开 data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAA ...
- 攻防世界逆向入门题之open-source
攻防世界逆向入门题之open-source 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向入门题的open-source 下载附件得到源码: #include <stdio.h> #in ...
- 攻防世界逆向入门题之流浪者
攻防世界逆向入门题之流浪者 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向入门题的流浪者 下载附件,照例扔入exeinfope中查看信息: 32位PE文件无壳,照例扔入ida32中查看伪代码: 是没 ...
- 攻防世界逆向入门题之no-strings-attached
攻防世界逆向入门题之no-strings-attached 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向入门题的no-strings-attached 下载附件: 扔入Exepeinfo中查壳和其 ...
- [免费专栏] Android安全之APK逆向入门介绍
也许每个人出生的时候都以为这世界都是为他一个人而存在的,当他发现自己错的时候,他便开始长大 少走了弯路,也就错过了风景,无论如何,感谢经历 Android安全付费专栏长期更新,本篇最新内容请前往: [ ...
- 逆向入门分析实战(三)
之前两篇文章,针对恶意代码为了确保自身只有一个实例在运行进行了正向开发和逆向分析.逆向入门分析实战(一)逆向分析入门实战(二) 这种现象在恶意代码中非常常见,现在对上次的内容进行一个简要的回顾和扩展: ...
- 逆向入门分析实战(二)
上次我们对主函数分析完成了,逆向入门分析实战(一)那么这次我们对子函数IsAlreadyRun进行分析. C语言代码 IsAlreadyRun函数的C语言代码如下图所示: 下面对其汇编代码进行分析: ...
最新文章
- 实验三 Gmapping建图
- 综述的综述!5 篇2020 年「图像分割算法」最佳综述论文详解
- 前端开发 —— BOM
- 流程控制介绍,顺序结构、分支结构、循环结构、Promise对象、throw语句、break和continue关键字
- 服务器性能评价体系,基于ServerScope平台TPCW性能评价
- java安卓开发 项目实例_Java系列--第七篇 基于Maven的Android开发实战项目
- spring数据源、连接池配置
- Codeforces Round #753 (Div. 3) C. Minimum Extraction(最小抽离)
- think in java第6_think-in-java/6.5 protected.md at master · quanke/think-in-java · GitHub
- Winform读报工具
- git-ftp:用git管理ftp服务器简单入门
- Windows上使用 OpenOCD 给 STM32 下载程序
- 【Pix4d精品教程】pix4d mapper相机未校准后手动添加连接点完美案例图文教程
- 微信小程序:选择图片、上传图片(应用:切换用户头像)及过程中遇到的问题
- Visio 画图去掉页边距的解决办法
- AutoGluon-教程1-简单的入门模型
- 计算机中模板与母版的区别,模板和模版有啥区别?
- 原码,反码,补码的转换
- 001-课程体系以及环境搭建
- 中拓互联域名小课堂:.购物域名,自建商城的标配
热门文章
- 1.7-27编程基础之字符串 单词翻转
- Java黑皮书课后题第8章:**8.11(游戏:九个硬币的正反面)一个3*3的矩阵中放置了9个硬币,这些硬币有些面朝上有朝下。1表示正面0表示反面,每个状态使用一个二进制数表示。使用十进制数表示状态
- 用指向指针方法对N个字符串进行排序并输出
- GROUP BY 和 ORDER BY 同时使用问题
- MySQL索引与Index Condition Pushdown(二)
- 【甘道夫】Hadoop2.2.0 NN HA具体配置+Client透明性试验【完整版】
- bellmanford队列优化
- effective C++ 条款 5:了解c++默认编写并调用那些函数
- 不能在DropDownList 中选择多个项
- 究竟什么能使得生活变得圆满?