OEP

【转载】寻找真正的入口(OEP)--广义ESP定律

寻找真正的入口(OEP)--广义ESP定律作者:LenusFROM: poptown.gamewan.com/bbsE-MAIL:[email protected].前言    在论坛上看到很多朋友,不知道什么是
zhangmiaoping23·2013-07-15 15:00

多种脱壳方法总结

多种脱壳方法总结 一.脱壳基础知识要点1.PUSHAD:(压栈)代表程序的入口点2.POPAD:(出栈)代表程序的出口点,与PUSHAD想对应.看到这个,就说明快到OEP了.3.OEP:程序的入口点,软件加壳就是隐藏
逆向分析专栏·2013-03-13 16:00

常见程序入口点(OEP)特征

转自:http://www.21arm.com/forum.php?mod=viewthread&tid=691&extra=page%3D1============================我是转载的分割线===================================delphi:  55        PUSHEBP  8BEC      MOVEBP,ESP  83C4F0  
xihuanqiqi·2012-11-12 18:00

1.1破解工具的介绍

【脱壳一般流程】查壳(PEID、FI、PE-SCAN)--->寻找OEP(OD)--->脱壳/Dump(LordPE、PeDumper、OD自带的脱壳插件、PETools)--->修复(ImportREConstructor
tk86935367·2012-11-12 14:00

Themida / Winlicense (TM / WL)脱壳各个版本区别总结

(二),先看看不同版本OEP的一些小特征:2.1.X.X版本之后的OEP特征(2.0.8.0,2.1.0.10,2.1.3.32等) 2.1版本之前的OEP特征,如(2.0.3.0,1.8.2.0,1.885
凌风设计·2012-10-18 16:15

破解学习笔记-----不脱壳破解

破解学习笔记-----不脱壳破解1,OD载入程序-->ESP定律走到OEP2,-->右键搜索ASCII码3-找到关键跳-->F2下断 4,F8往下单步跟踪,直到程序运行起来-->输入假码,确认-->这样就来到了关键跳
eldn__·2012-10-05 23:00

破解笔记-----多种脱壳方法总结篇

一.脱壳基础知识要点1.PUSHAD:(压栈)代表程序的入口点2.POPAD :(出栈)代表程序的出口点,与PUSHAD想对应.看到这个,就说明快到OEP了.3.OEP:程序的入口点,软件加壳就是隐藏OEP
eldn__·2012-10-03 16:00

(5) 定位IAT

一:半手动定位RVA1,OD载入程序并走到OEP。2,用OD脱壳(method 1)或用LordPe脱壳。
eldn__·2012-10-03 15:00

(4)脱壳必备知识要点及方法

预备知识        OEP是Original Entry Point缩写,即程序加壳前的真正的入口点。    外壳初始化的现场环境(各寄存器值)与原程序的现场环境是相同的。
eldn__·2012-10-03 15:00

(3)常用脱壳方法总结

压缩壳怎么变形它还是压缩壳,压缩壳的脱壳方法一般都不难,压缩壳一般单步跟踪都可以跟出OEP的,当然EXE文件加壳和DLL文件加壳以后脱壳是不同的学习要循序渐进,所以DLL脱壳现在先不讲,(DLL脱壳的重点是重定位
eldn__·2012-10-03 15:00

(2)认识常用工具

介绍脱壳的基本过程    脱壳的基本流程:    侦壳——→OD载入程序——→寻找OEP——→脱壳(DUMP)——→修复     下面介绍下这些步骤常用的工具:    侦壳:PEID   FI     
eldn__·2012-10-03 15:00

破解笔记 -- 黑鹰 1、破解工具介绍

脱壳时判断OEP:(1)五种常见语言特征(2)大跨度的跳转脱壳过程:(1)查壳。工具,如PEID(2)脱壳。找到OEP,Dump内存,工具,如LordPE(3)修复PE头。
gzliu_hit·2012-08-29 11:00

脱壳的几种方法 详细操作步骤

 脱壳的几种方法  详细操作步骤常见脱壳知识:1.PUSHAD(压栈)代表程序的入口点2.POPAD(出栈)代表程序的出口点,与PUSHAD相对应,一般找到这个,说明OEP可能就在附近3.OEP:程序的入口点
zplove003·2012-07-20 11:00

0.ring3-ImportREC重建输入表

1.目标文件已完全被Dump,另存为一个文件2.目标文件必须正在运行中3.事先找到目标程序真正的入口(OEP)或IAT的偏移与大小 以加壳RebPE.exe为例,首先OD加载:调试到00413001,设置硬件断点
hgy413·2012-07-10 13:00

广义ESP定律

寻找真正的入口(OEP)--广义ESP定律作者:LenusFROM: poptown.gamewan.com/bbsE-MAIL:[email protected].前言  
king_c·2012-06-17 17:00

寻找OEP

手工脱壳一般情况是分三步:一是查找程序的真正入口点(OEP);二是抓取内存映像文件;三是输入表重建。
king_c·2012-06-17 13:00

寻找真正的入口(OEP)--广义ESP定律

来自看雪可转载文章:http://www.pediy.com/kssd/pediy06/pediy6083.htm*/寻找真正的入口(OEP)--广义ESP定律作者:LenusFROM: poptown.gamewan.com
BetaBin·2012-06-12 20:00

破解入门(五)-----实战"ESP定律法"脱壳

ESP定律法的步骤    ESP定理脱壳(ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了!)
qiurisuixiang·2012-06-10 12:00

破解入门(五)-----实战"ESP定律法"脱壳

ESP定律法的步骤ESP定理脱壳(ESP在OD的寄存器中,我们只要在命令行下ESP的硬件访问断点,就会一下来到程序的OEP了!)
xitong·2012-06-10 12:00

脱壳 OEP 程序的入口点

OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP),只要我们找到程序真正的OEP,就可以立刻脱壳。
qiming_zhang·2012-03-02 11:00

【脱壳】手脱NsPack1.4壳

通过堆栈平衡原理找OEP的方法就可以搞定了。        
magictong·2011-11-23 23:00

windbg 使用

dh获得的EP地址或者:sxeld:dllname.dll.restart来断下dll的执行但不是运行到oep处.chain命令可以检查目前WinDbg已经加载的扩展sxeclr开启检测CLR的FirstChanceException
·2011-09-21 21:00

两种方法获取文件OEP

读取的字段都是一样的,只是一个直接从PE文件中读取,一个映射到内存后再读取1.文件直接访问法BOOLReadOEPByFile(LPCTSTRszFileName) { HANDLEhFile; hFile=CreateFile(szFileName,GENERIC_READ,FILE_SHARE_READ,0,OPEN_EXISTING,FILE_FLAG_SEQUENTIAL_SCAN,
evi10r·2011-08-23 15:00

关于感染型病毒的那些事(二)

//OEP是从PE头中得到的程序入口点,VEP是病毒注入的起始位置,ImageBase是文件基址  int BuildInjectCode(DWORD OEP, DWORD VEP, DWORD ImageBase
echoisland·2011-06-26 21:00

oracle sql优化(不断更新)

保存存SQL语句 4)View Merge:把视图语句合并到用户语句中 5)Statement Transformation:如展开子查询 6)Optimization:确定最佳的访问路径 7)OEP
suhefa·2011-05-29 18:00

脱壳操作

常规操作:1、寻找OEP:OD载入,找到OEP,停在OEP处(一般在pushebp代码处)。
liang_lq·2011-03-26 17:00

寻找OEP

将内存数据窗口以HEX数据形式显示,在刚才的地址起始位置上(如0012FFA4)上右键:“断点”->“硬件访问”->“字”,F9直接运行,再F8一次或二次,一般会到pushebp这句代码,这句代码所在的地址,就是OEP
liang_lq·2011-03-26 02:00

寻找关键点

关于查找字符串,如果是带壳查找,则需要到达OEP后再查找,否则可能查找不到,因为解码还没有完成。
liang_lq·2011-03-25 23:00

了解寄存器: EBP寄存器

(ESP用于访问栈顶) 应用以前说过的一段话: 原程序的OEP,通常是一开始以PushEBP和MOVEbp,Esp这两句开始的,不用我多说
cay22·2011-02-23 21:00

脱壳之二-实践

pushad和call之间很近,因此使用f7进行跟踪执行  3,在所有向上跳转的语句的下一行,点鼠标右键,使用F4下断点防止反跳 4,f8一路向下执行 5,执行到这里,看到push0051cee就是典型的OEP
lhfeng·2010-10-09 22:00

脱壳之一

脱壳之一 1,什么事OEP    OEP(OriginalEntryPoint)应用程序的原始入口点2,壳的作用    两个加密和压缩3,脱壳的基本方法    .用OD载入,不分析代码!    
lhfeng·2010-10-08 09:00

某QQ群发大师2010版爆破分析

1,老版本软件无壳,可直接上手    新版本加了PE壳,采用ESP定律F9四次即可到达OEP,无难度,不详述 2,观测软件:  1)底部label显示“未注册版本,机器码XXXX”的提示  2)存在注册按钮
ty1921·2010-08-26 18:00

某发大师2010版爆破分析

1,老版本软件无壳,可直接上手 新版本加了PE壳,采用ESP定律F9四次即可到达OEP,无难度,不详述 2,观测软件: 1)底部label显示“未注册版本,机器码XXXX”的提示 2)存在注册按钮
aijuans3·2010-08-26 18:00

寻找OEP的几种常用方法

3.OEP:(OriginalEntryPoint)程序的真正入口地址。
wmbol·2010-08-15 22:00

关于感染型病毒的那些事(二)

//OEP是从PE头中得到的程序入口点,VEP是病毒注入的起始位置,ImageBase是文件基址intBuildInjectCode(DWORDOEP,DWORDVEP,DWORDImageBase){
markman101·2010-07-01 12:00

VC读取PE文件的OEP(程序入口)

OEP是PE文件被加载时的起始地址,该值位于PE文件头的IMAGE_OPTIONAL_HEADER32结构体中。照着网上的教程写了一遍,收获不小,现在对PE文件的前两部分已经有一定的了解了。
c395565746c·2010-06-15 01:00

DUMP

你还是只在OEP处dump吗?  你知道dump的原理吗?  你遇到过anti-dump的壳吗,你知道如何对付它吗?  你明白几种dump工具的优劣吗?  
lwglucky·2010-03-15 02:49

DUMP

你还是只在OEP处dump吗?  你知道dump的原理吗?  你遇到过anti-dump的壳吗,你知道如何对付它吗?  你明白几种dump工具的优劣吗?  
lwglucky·2010-03-15 02:49

[zz]用importREC修复Import表

[zz]用importREC修复Import表1、用ollydbg找到正确的OEP(脱壳和修复导入表都要用到)2、脱壳在当前进程,如脱壳出来的程序不能运行,提示无法定位程序输入点,需要使用importREC
小默·2009-12-24 21:00

[zz]常见脱壳知识

[zz]常见脱壳知识1.PUSHAD(压栈)代表程序的入口点2.POPAD(出栈)代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近拉!
小默·2009-12-14 18:00

EBP寄存器

应用以前说过的一段话:原程序的OEP,通常是一开始以PushEBP和MOVEbp,Esp
miaolingshaohua·2009-12-07 14:00

VC读取PE文件的OEP

OEP是PE文件被加载时的起始地址,该值位于PE文件头的IMAGE_OPTIONAL_HEADER32结构体中。照着网上的教程写了一遍,收获不小,现在对PE文件的前两部分已经有一定的了解了。
tg2003·2009-12-04 04:00

新手必须懂得什么叫OEP,以及查找的常用方式软件破解什么是oep?

新手必须懂得什么叫OEP,以及查找的常用方式软件破解什么是oep?
S.l.e!ep.¢%·2009-09-24 11:00

Crack 的相关概念

OEP:originalentrypoint原始入口点堆栈平衡:进入一个函数或子调用时,会做一些入栈的动作,在结束函数或子调用时,要保证把堆栈恢复原样。
S.l.e!ep.¢%·2009-09-24 11:00

ASPack2.12 手动脱壳笔记

,调试选项->事件->主模块入口3.使用esp平衡法,载入后esp指向7ffc4,命令行里输入hw7ffc0(注:加密与解密一书中用的是7ffc4)4.F9后触发中断,esp为7ffc0,里面的值就是oep
wangkang2009·2009-09-01 11:00

几种常见脱壳方法

常见脱壳知识:1.PUSHAD(压栈)代表程序的入口点             2.POPAD (出栈)代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近拉!             
jiumingmao11982·2009-06-05 22:00

脱壳基础(三)

手工脱壳一般情况是分三步: 一是查找程序的真正入口点(OEP); 二是抓取内存映像文件; 三是输入表重建。
cfree·2009-04-28 09:00

vb软件破解手记

第一步:脱壳,用esp定律,很快就找到oep,dump,修复IAT,脱壳完毕,没什么异样之处。第二步:用idapro扫,得到了一堆很
lzf_china·2009-03-02 13:00

手动脱ASPack壳

ASPack壳 write by 九天雁翎(JTianLing) -- blog.csdn.net/vagrxie 讨论新闻组及文件 个人手动脱壳定义,不是完全不用工具,仅仅是指不用脱壳机,并且手动寻找OEP
webcenterol·2009-02-06 19:00

手动脱UPX壳

UPX壳 write by 九天雁翎(JTianLing) -- blog.csdn.net/vagrxie 讨论新闻组及文件 个人手动脱壳定义,不是完全不用工具,仅仅是指不用脱壳机,并且手动寻找OEP
webcenterol·2009-02-06 17:00
上一页 1 2 3 4 5 6 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他