本帖最后由 诚实的勇士 于 2015-2-23 21:46 编辑
想用esp定律脱这个,但是始终找不到oep,求各位大神指导
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
kbys的壳,好吧,我承认下一课有说。。但是看之前还是解决掉了
本帖最后由 hktkzyz 于 2015-3-3 09:53 编辑
这一课这么好,怎么没有很多人回复?我觉得这一课学到很多东西,也遇到一些问题。
收获:
1、认识了一个BP ExitProcess API断点,这样就可以对一些自动退出的程序多一条思路。
同时大小写还必须严格不能搞错。。。。
2、je跳转的修改,以前只知道je改jnz和nop填充,现在又知道了在寄存器里把Z值由1改0。
3、脱壳中,原来ESP定律,可以多次使用呀,说实话,我开始也没脱掉壳。4、有时候程序入口不是我们常见的样子,若不是恒大说:“那就右键,选择“分析”......”,
即使到了脱壳处,我也没认出来。
问题:
1、这么好一个API断点,为什么不加在“设置API断点”的菜单里?我们的OD不是定制的吗?
不知这个能不能定制进去。呵呵,其实我是懒得手打,也怕忘记怎么打。
2、设置API断点后,F9后,恒大说是“系统领空”不能操作,请问何为“系统领空”?
根据百度,目前我的理解是:OD标题最后处写的是 模块-kernel32(系统dll,所以是系统领空),不知是否对?
3、下面就不明白了,为何在段首下断,是因为这段找不到跳转吗?
4、又为何在此段首继续在堆栈窗口右键,反汇编窗口中跟随呢?如果“系统领空”和“程序领空”
我理解没错的话,这里应该是“程序领空”呀?
不知怎样发帖能引起恒大等老师师兄们的注意,希望能有人解决一下上述问题,我相信,应该不止我一人有以上疑惑。。。
照着老师步骤走还是很容易的,感谢老师
安装好了虚拟机,终于能调试脱壳后的文件了。
先说一下我学习中遇到的问题和解决方案。
之前我把时间调到2005年 然后脱好了壳。但用BP ExitProcess下断电却没有任何反应。结果发现解决方案是把时间调回实际时间就能完美解决。
在找段首的过程中,确实在语句的下面有段代码很像教程中的段首,但为啥要往上面找因为他叫段首呗。
在学习中遇到一个问题就是,我把je改成jnz后却没有把功能实现。但改成nop后却实现了。希望大牛指点一二
第四天继续学。。HB不够了。。
本帖最后由 jflmao 于 2015-4-6 16:07 编辑
hktkzyz 发表于 2015-3-3 09:44
这一课这么好,怎么没有很多人回复?我觉得这一课学到很多东西,也遇到一些问题。
收获:
1、认识了一个B ...
这个API断点已经集成到我们的专版OD里了,有两处都可以找到
一处是上面的悬浮工具菜单,点第一个菜单“BP”,最下面的就是了
还有一处是“插件”菜单里的“API断点设置工具”里面,这个比较强大,有很多API断点
另外也要感谢你,要不是你提到ESP定律可以不止用一次,我也脱不了壳了
jflmao 发表于 2015-4-6 16:04
这个API断点已经集成到我们的专版OD里了,有两处都可以找到
一处是上面的悬浮工具菜单,点第一个菜单“B ...
工具条这个后边发现了。
插件里原来有这蛮多的api断点呀,真是感谢。
ESP定律不止用一次,也不是我发现的,是恒大说的。
谢谢交流。
交作业。。
脱壳,要不是@hktkzyz 的一句话,我还脱不了壳呢,不过,就算知道后,我也是经过多次实验,才确定在断点下面第一个call,再来一次esp定律,才脱得了壳,不过,至于为什么要在这个call进行esp,还是不懂,希望知道的大牛能够指点一下
hktkzyz 发表于 2015-3-3 09:44
这一课这么好,怎么没有很多人回复?我觉得这一课学到很多东西,也遇到一些问题。
收获:
1、认识了一个B ...
你好,后面的几个问题解决了吗?能否分享下啊。。这几个问题我也不懂啊。。。
jflmao 发表于 2015-4-6 16:54
你好,后面的几个问题解决了吗?能否分享下啊。。这几个问题我也不懂啊。。。
1、经你提醒,已经解决。
2、我的理解是对的。看标题即可。
3、段首下断,是为了回溯。(段首从堆栈返回到反汇编 和段尾跳出,道理一样)
4、时间长没看这个,应该是该段找不到跳转,所以再次转到上一段。
我也小白,将就着理解吧。