吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 5774|回复: 23
收起左侧

[原创] 笔记之压缩壳通用寻找oep的方法

[复制链接]
lufei 发表于 2017-3-17 18:35
本帖最后由 lufei 于 2017-3-17 18:41 编辑

一:原理
这种办法主要脱压缩壳的,压缩壳不会修改程序(比如stolen code之类的操作),当然一些简单的加密壳同样通过这样的办法脱掉。
在不修改程序的时候,那么这样的情况oep是就是真正的oep。
那我们就可以直接搜索oep的特征来找到oep。
二:实战
http://www.52pojie.cn/thread-10688-1-1.html 为列。已知他是vc编译出来的。

vc6编译出来的入口点特征是:

1.1.png
1.1

入口的16进制是558BEC6AFF。

先F9让程序跑起来,然后来到内存映射模块,使用16进制搜索。

1.2.png
1.2




搜索的结果,oep的地址在401700,如下图。



1.3.png
1.3




再重新载入加壳的程序,在401700下硬件执行断点。然后F8步过pushfd,然后再F9就直接来到oep了。




1.4.png

1.4

peid里面的通用oep查找工具应该也是使用这种办法。

免费评分

参与人数 8吾爱币 +15 热心值 +8 收起 理由
610100 + 2 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
海天一色001 + 1 谢谢@Thanks!
Hmily + 5 + 1 用心讨论,共获提升!
125733578 + 3 + 1 用心讨论,共获提升!
xouou + 2 + 1 嘎嘎
3622020 + 1 + 1 我很赞同!
ripples + 1 + 1 支持技术分享!
霖° + 1 + 1 热心回复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| lufei 发表于 2017-3-17 20:23
Hmily 发表于 2017-3-17 18:55
感觉这帖子用分享标签比原创标签合适,内容应该是有参考前人的过程吧?

没有看到过类似帖子,我是思考小生我怕怕发的那三个加密壳练习思考得出来的想法。不知道前人发过,不好意思重复发了。
破文的原理讲得比较少,比如两次断点法,到底下哪个段,后哪个段?
模拟跟踪法,eip到底小于哪个值。
我是带着这些问题去做小生怕怕给的练习,然后思考一些结果出来,发出来,如果重复了前人的东西,希望不被嫌弃。



点评

那挺好,总结出经验了。  详情 回复 发表于 2017-3-18 11:42
Hmily 发表于 2017-3-17 18:55
感觉这帖子用分享标签比原创标签合适,内容应该是有参考前人的过程吧?
siwuxie095 发表于 2017-3-17 19:24
kakaoracle 发表于 2017-3-17 19:50
哎呦不错哦
霖° 发表于 2017-3-17 19:57
新人混脸熟
 楼主| lufei 发表于 2017-3-17 20:57
漓火 发表于 2017-3-17 20:54
内存找到了下了硬件执行断点,但是按你说的方法F9就直接运行出来了。新人求解答一下

再重新载入加壳的程序,在401700下硬件执行断点。然后F8步过pushfd,然后再F9就直接来到oep了。
"然后F8步过pushfd"  这步一定要做。
校2012 发表于 2017-3-17 20:59
不错值得学习下下
rxxcy 发表于 2017-3-17 23:10
虽然看不懂 /滑稽
小蒲 发表于 2017-3-18 08:31
感谢分享,交流
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 18:16

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表