什么是高端网站建设,东莞短视频seo需要多少钱,做物流网站费用,做网站一般的尺寸脱壳的目的就是找到被隐藏起来的OEP#xff08;入口点#xff09;
这里我一共总结了三种方法#xff0c;都是些自己的理解希望对你们有用
单步跟踪法
一个程序加了壳后#xff0c;我们需要找到真正的OEP入口点#xff0c;先运行#xff0c;找到假的OEP入口点后#x…脱壳的目的就是找到被隐藏起来的OEP入口点
这里我一共总结了三种方法都是些自己的理解希望对你们有用
单步跟踪法
一个程序加了壳后我们需要找到真正的OEP入口点先运行找到假的OEP入口点后单步调试我们不能让程序向上调试只能让程序向下调试遇到向上调试的将鼠标光标指到下一个按F4或者下个断点运行也可以跳过向上调试的点。当我们遇到有很大跨度的调试时有可能就是真的OEP入口点
利用ESP定律进行脱壳
这里的ESP定律进行脱壳就是要下硬件断点从而找到真正的OEP位置
这里先将程序用x86dbg运行起来然后找到假的oep入口点进行单步调试看寄存器中的ESP是否变红一般只有当ESP变红后步骤如下 然后点击运行跳到刚才打的断点处到了断点处后一般来说就已经找到真的oep入口点了但还是得看当时所在得函数一个模块程序得入口点的函数push入栈万一跳转到这个断点处没有看到push也没关系因为真正的eop已经在附近了再次点击运行看会跳转到哪是否有push字样同时看程序是否真正进入且运行起来注意看call这个汇编代码这个意思是调用子函数的意思可能这个子函数就是真正eop入口点。
一步直达法
这里的方法就是先找到程序假的oep入栈点因为有入栈点那必然是有出栈点的而我们的一步直达就是如此按ctrlf查找函数的位置这个时候不要着急因为真正的oep已经在附近了然后一直向下步过注意call这个函数因为有些会直接调用子函数而某些子函数中就是我们要找的真正oep入口点 以上是我自己的个人理解没有加图片进去大家看着来就好但注意利用ESP定律进行脱壳是可以保证百分百把壳脱掉的其他的方法根据情况而定。
