好友
阅读权限10
听众
最后登录1970-1-1
|
目标文件:链接:https://pan.baidu.com/s/1mx8G85Zbla2Z61i0eGzkzQ
提取码:v14c
PEid打开文件如图:
javascript:;
PEid查询结果是UPX v0.89.6的壳,站内搜了一下,好多教程,接着百度了一下,发现了ESP定律可以脱壳
ESP定律又叫平衡堆栈,UPX会先把8个通用寄存器的值压入栈内,汇编指令:pushad,保存环境
用x64dbg打开目标文件如图:
看到了pushad指令,这是EBP栈底是0014FF94,ESP栈顶是0014FF84,F8执行pushad指令
这时候右键点击esp,选择在内存窗口中转到
可以看到定位到了内存窗口中数据和堆栈中数据相同
在内存中打硬件断点,并且F9直接执行:
找到了popad,这就是壳结束的地方了
而图中的jmp就是OEP了,
然后选择插件-scylla,在OEP处填入原始OEP的地址,点击Dump就完成了,开心。
|
-
找到popad
-
内存数据
-
执行pushad之后
-
打开找到pushad
-
PEid截图
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2020-1-30 22:19
