OEP

恶意代码分析实战18-2

将lab18-3载入peview可以看到这个壳是PECompact载入od默认405130为入口点使用od的插件来查找oep结果如下插件猜测的oep起始位置在40a110但是这里的这些指令不像是oep
Neil-Yale·2021-05-29 15:29

【每日一个小程序】crackme之001

打开程序日常弹框,没有加壳,放入OD运行,弹框后按F12暂停然后Alt+k查看massage函数,0042A1AE距离入口点比较近,显示调用本想找信息框里的字符串,发现到了oep都没有找到,现在在oep
Sund4y·2021-04-24 08:47

脱壳常见问题

将资源节数据后移,而原始的资源节的指针还是指向之前的位置,此时的数据为0.解决方案:修改资源节的指针指向资源数据往下移动后的位置,或者删除多余的数据,将资源节的数据剪切到原始位置.内存dump的时机,程序停在OEP
tooyoungtosimple·2020-09-14 07:28

shark恒破解笔记6-BC++假自效验

的自校验部分目标:首先查看软件peid查壳有壳,但是不知道是什么语言写的,这里使用DIE查看esp脱壳od打开可看到,pushad等特征,标准的esp定律F8执行后esp变化F9来到这里F8执行到这里到达oep
卿's Blog·2020-09-13 19:16

shark恒破解笔记5-VB之rtcMsgBox

运行程序输入假码,会提示“注册码错“在oep上面可以看到大量vb引擎函数明显的VB程序载入OD对rtcMsgBox下断点,F9运行,点击注册后输入了假码,就运行到了我们的rtcMsgBox断点我们F8跟下去直到跟到这个位置
卿's Blog·2020-09-13 19:16

160个Crackme033

作者在OEP处故意制造了一个和Delphi一模一样的入口特征来迷惑查壳器。分析程序随便输入一个序列号和密码,根据错误提
鬼手56·2020-09-13 02:29

asprotect脱壳经验谈

数月前对某一程序分析,拿到程序应PEid扫描了一下,发现是asp的壳,之前脱过此类壳感觉难度不大,此程序在OEP调用了GetStartupInfo,找到OEP并不困难,结合堆栈基本就可以确定OEP
joeleechj·2020-09-13 01:26

PE头字段说明(滴水)

e_lfanew指向的是PE,PE下面才是标准PE头NumberOfSections指向文件中一共有多少个节AddressOfEntryPoint也叫作OEP,AddressOfEntryPoint+ImageBase
若面朝大海便祝你春暖花开·2020-09-11 17:58

buu 新年快乐

2.到数据窗口后,左键硬件访问,byte和word,dword都可以任选一个,3.F9运行,遇到大跳转,时说明我们到oep了4.遇到向上跳的,用F45.用od自带的脱壳进程,脱,一种选重建导入表,一种不选
YenKoc·2020-08-25 17:57

BUUCTF Reverse 新年快乐(手工去壳)

在这里直接尝试手工去壳,就不使用脱壳机了这个依旧是采用ESP定律的方法找OEP
A_dmins·2020-08-25 17:33

李笑来 郭宏才 10亿代币 免费领取

第一步:先给大家看一张图片图片发自App看到没OEP:2100万,EOP:5亿,ETE:888888888这些就是所谓的代币,你可以用这些币进行ICO(从此走上人生巅峰),一份白皮书,一个简单的网站,一个代币
区块链狐狸·2020-08-25 17:20

他乡_视频_目录

VMProtect1.704(VB)脱壳实战04、VMProtect1.6x~1.8脱壳分析05、自创法脱VMProtect1.6~1.7.0406、VMProtect1.8x脱壳实战07、VMProtect1.8x修补OEP
weixin_30326515·2020-08-24 16:12

勒索病毒GandCrab-v5.04完整分析

原程序分析样本不见了基本文件信息ExeInfo查看文件信息,PE32位且有壳Ollydbg入口点代码如下脱壳后单步跟到OEP,dump内存修复IAT,成功脱壳后用Die查看编译语言为Delphi7IDA
无限期停更·2020-08-22 11:52

在cub生成的audio上hid称为混合设备(composite)

defineUSB_AUDIO_CONFIG_DESC_SIZ(0xC0+32)//109#defineAUDIO_OUT_PACKET_NUM2//80usbd_audio.c#include"usbd_hid.h"uint8_tHID_OEP4
宁静以致墨·2020-08-20 23:30

esp脱壳+文件大小自校验

步骤如下1.查壳由图可见,显然有壳image2.找oep(ESP定律)程序加载进OD,F8单步运行,右边寄存器窗口发现只有esp的值在变,符合ESP定律。
看点书·2020-08-20 21:46

脱壳-MoleBox(2.0.0-2.3.0)

前言练习了MoleBox(2.0.0-2.3.0)的脱壳,记录一下脱壳流程点.找到OEP后,去看IAT项,系统DLL地址被换成了壳函数的地址(APIredirection).如果不使IAT项为系统API
LostSpeed·2020-08-19 08:51

零基础逆向工程19_PE结构03_代码节空白区添加代码_shellcode

E800000000jmp的硬编码:E900000000计算方法1:E8后面的值=真正要跳转的地址-E8这条指令的下一行地址计算方法2:E8后面的值=要跳转的地址-(E8的地址+5)2.在代码区手动添加代码3.修改OEP
weixin_30776863·2020-08-15 08:21

零基础逆向工程20_PE结构04_任意节空白区_新增节_扩大节添加代码

零基础逆向工程18之PE加载过程)2.文件缓冲区扩展到内存映像缓冲区(ImageBuffer)3.判断代码空闲区是否有足够空间存储ShellCode代码4.将代码复制到空闲区5.修正E86.修正E97.修改OEP8
weixin_30437337·2020-08-15 08:31

逆向学习笔记-基于EBP的栈帧

程序的OEP,一开始以pushebp和movebpesp这两句开始。
bobli·2020-08-15 02:32

在OD中手工修复IAT重定向

前言壳代码,都会重定向IAT表项到壳里的地址.如果找到真正的IAT表项的API地址列表,自己手工填到ImpREC中挺繁琐的.这时,可以在已经停在OEP处的OD中,先在ImpREC中填写正确OEP,得到IAT
LostSpeed·2020-08-14 16:42

脱壳后的IAT修复

前言压缩壳(大部分)和加密壳脱壳后,在OEP处Dump出来后,都需要IAT修复.否则运行报错.今天练习了脱壳后的IAT修复,将流程点记录一下.记录OEP处dump的工具OllyDump(修复导入表dump
LostSpeed·2020-08-14 16:42

Themida / Winlicense (TM / WL)脱壳总结,Themida脱壳,Winlicense脱壳各个版本区别总结

(二),先看看不同版本OEP的一些小特征:2.1.X.X版本之后的OEP特征(2.0.8.0,2.1.0.10,2.1.3.32等)2.1版本之前的OEP特征,如(2.0.3.0,1.8.2.0,1.885
zhw309·2020-08-14 12:40

Themida / Winlicense (TM / WL)脱壳各个版本区别总结

(二),先看看不同版本OEP的一些小特征:2.1.X.X版本之后的OEP特征(2.0.8.0,2.1.0.10,2.1.3.32等)2.1版本之前的OEP特征,如(2.0.3.0,1.8.2.0,1.885
weixin_33921089·2020-08-14 12:05

Themida和Winlicense加壳软件脱壳教程

(二)先看看不同版本OEP的一些小特征:Temida2.1.X.X版本之后的OEP特征(2.0.8.0,2.1.0.10,2.1.3.32等)Temida2.1版本之前的OEP特征,如(2.0.3.0,
cheyun2351·2020-08-14 09:26

Themida和Winlicense加壳软件脱壳教程

(二)先看看不同版本OEP的一些小特征:Temida2.1.X.X版本之后的OEP特征(2.0.8.0,2.1.0.10,2.1.3.32等)Temida2.1版本之前的OEP特征,如(2.0.3.0,
cocopark1234·2020-08-14 09:13

手动确定IAT的地址与大小

还是用上一节实例演示,用OD打开notepad.upx.exe,来到OEP处:随便找一个API函数调用语句,如:004010D3
IIlIlllIIllIll·2020-08-10 12:02

常见程序入口点(OEP)特征

转自:http://www.21arm.com/forum.php?mod=viewthread&tid=691&extra=page%3D1============================我是转载的分割线===================================delphi:55PUSHEBP8BECMOVEBP,ESP83C4F0ADDESP,-10B8A86F4B00MO
ouyangbro·2020-08-10 11:13

【转载】秒到oep,支持所有壳,包括vmp

有的OEP被抽了代码的只能找到伪OEP,也就是被抽掉之后剩下的头部地址。你也可以直接无视这个方法,对你少一个选择,对我没有任何损失。首先讲一下方法的原理。每一
weixin_33888907·2020-08-10 11:13

常见各种语言编写的程序的入口点代码(识别是否到达OEP)

BorlandDelphi6.0-7.000509CB0>$55PUSHEBP00509CB1.8BECMOVEBP,ESP00509CB3.83C4ECADDESP,-1400509CB6.53PUSHEBX00509CB7.56PUSHESI00509CB8.57PUSHEDI00509CB9.33C0XOREAX,EAX00509CBB.8945ECMOVDWORDPTRSS:[EBP-14
termonitor·2020-08-10 10:32

常见程序入口点(OEP)特征

delphi:55PUSHEBP8BECMOVEBP,ESP83C4F0ADDESP,-10B8A86F4B00MOVEAX,PE.004B6FA8vc++55PUSHEBP8BECMOVEBP,ESP83EC44SUBESP,4456PUSHESIvc6.055pushebp8BECmovebp,esp6AFFpush-1vc7.06A70push706850110001pushhh.01001
IIlIlllIIllIll·2020-08-10 08:48

一些关于debug和性能分析方面的资料收集

你还是只在OEP处dump吗?你知道dump的原理吗?你遇到
weixin_30651273·2020-08-09 13:49

恶意代码分析实战 Lab18

lab18-01第一个是upx加密这里我们手动脱壳,upx壳挺简单的,只要找到oep就行注意到ollydbg进去的pushad,一般在popad后就会跳转到正确oep,所以在pushad后esp的地址设个硬件访问断点
默守不成规·2020-08-08 14:29

脱ZP壳笔记

样本HASH:1B9FD1D77A106CADF8485B03F44B7668到达OEP,查看有没有抽取代码随便跟进一个call,看到jmp到一个堆地址里面,说明是有抽取代码的,那就修改一下文件,但这壳有文件校验
WALINX·2020-08-08 00:56

手脱FSG压缩壳及问题处理

使用我爱破解LCG打开需脱壳程序4.单步2次,选择数据窗口跟随5.右键单击短点,选择硬件访问,选择Word或Dword皆可,然后F9运行6.跳转后位置向上查找,因FSG特政js/jnz/jmp的jmp是OEP7
HOPEAMOR·2020-08-08 00:25

手脱压缩壳UPX的4种查OEP方法

目录先使用PEid进行查壳,可以看出壳的详细信息方法一单步跟踪方法二ESP定律法方法三两次内存镜像法方法四一步直到法先使用PEid进行查壳,可以看出壳的详细信息方法一单步跟踪打开软件,发现pushad指令,如果未发现,在软件中运行一下,就会到pushad,然后一直进行向下单步操作发现有向上循环,在其循环的下一行,右键断点,F4在此行运行循环进行上述操作,直至找到出栈命令,再往下进行查找,找到jmp
HOPEAMOR·2020-08-08 00:24

clrdg.exe

NET程序的破解(二)---------动态分析之一oep2006.4.25序:Tankaiha在他的“用PEBrowse对.Net程序进行动态调试”中曾经提到过3种方法可以破解.NET程序,我下面介绍的方法
flyhawk007blog·2020-08-07 23:49

patch(代码注入)

注:当程序加壳的时候不能直接改代码要想把代码改成需要的需要添加代码时壳运行完之后1、找到破解关键地方(0040619E)和程序OEP(401438)2、找到注入Patch代码的地方(SFX)00470000
九层台·2020-08-07 17:06

SE 2.4.0 patch机器码笔记

帖子地址:http://www.52pojie.cn/thread-349696-1-1.html看了第一课做的笔记识别壳版本号载入OD来到OEP直接点jmp点几下就看到call显示壳的版本00585509
agraye9058·2020-08-05 18:27

OEP30W D类音频功率放大器简单测试

简介OPE30WD类音频功率放大模块是集成了OEP30WIC芯片的模块。这么小的模块可以输出30W的音频功率着实令人惊奇。
卓晴·2020-08-04 22:17

JMP caLL 机器码

后面的二个字节是偏移0xFF15CALL后面的四个字节是存放地址的地址0xFF25JMP后面的四个字节是存放地址的地址0x68PUSH后面的四个字节入栈0x6APUSH后面的一个字节入栈shellcode跳转回原始OEP
Information_learning·2020-08-04 22:45

PE文件格式概述

本章提要·PE文件格式概述·PE文件结构·如何获取PE文件中的OEP·如何获取PE文件中的资源·如何修改PE文件使其显示MessageBox的实例2.1引言通常Windows下的EXE文件都采用PE格式
bairny·2020-08-04 13:28

关于程序自校验的一些分析

在平时工作中,我们脱完壳修复完毕而且如果有附加数据加上附加数据之后,如果还是没法将程序跑起来,那么我们在保证没有找错OEP的前提下,就需要考虑程序设置了自校验。
逆向小学生·2020-08-01 13:16

广东省强网杯逆向题 SimpleGame writeup

然后就查了下壳:upx脱壳一开始用的esp定律,因为在程序开头发现一个pusha,然后alt+t搜索popa跟进到jmp目的地址发现应该还不是oep,继续跟进直到一个call指令f7单步步入到
ptyin1604·2020-07-30 17:02

脱壳经验1

脱壳-0.upx.exe①找OEPESP定律脱壳-0.exe(FSG2.0)①找oep单步跟踪跳转到OEP代码:JMPDWORDPTRDS:[EBX+0xC]②dump内存。。
MagicalGuy·2020-07-28 06:22

OEP30W频率响应

简介在博文"OEP30WD类音频功率放大器简单测试”中给出了OPE30W的基本连接方式和功能应用。对于该音频放大芯片的输出特性和温度特性是什么?本文给出了测试方案。
卓晴·2020-07-15 12:00

EBP详解

应用以前说过的一段话:原程序的OEP,通常是一开始以PushEBP和MOVEbp,Esp
zhouqian88423·2020-07-10 14:23

神秘脱壳——MoleBox

查壳:脱加密IAT(其实这个也不是加密壳,但是原理差不多)表的三个要素:1、找到OEP2、找到正常IAT的位置3、找到修改IAT的位置找到这三个地方之后,所有的问题迎刃而解。
sxr__nc·2020-07-08 07:45

往代码区空白区加一段代码

知识点1知识点2举例来说明验证:再看一个jmp(E9)的例子:公式变换添往程序中添加加代码例子知识点0x00知识点0x01知识点0x02知识点0x03知识点0x04更改OEP总结:知识点1先举一个例子:
richard1230·2020-07-08 04:30

简单脱壳教程笔记(8)---手脱EZIP壳

本笔记用到的工具下载地址:http://download.csdn.net/detail/obuyiseng/9466056EZIP壳:当加载到OD中的时候,会发现有一串jmp操作1单步1、我们单步跟踪即可,找到OEP2
布衣僧·2020-07-02 13:43

如何用od去手动脱壳

如果不可以,按照如下步骤5.记录下od脱壳保存时候的oep6.先运行加壳的程序,然后运行lordpe,
cpongo4'"\?;@·2020-07-01 21:16
上一页 1 2 3 4 5 6 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他