OllyDBG”ESP定律:Upx手动脱壳”教程

由于本教程只是用OllyDBG做一个简单的upx手动脱壳,非常适合新手入门,因此需要用到一些工具软件,下载地址如下:

百度网盘链接:

https://pan.baidu.com/s/1_Xv561sxoA6EPVkEyqQhTw 提取码: 8fiv

网盘解压密码:www.fujieace.com

如网盘链接有失效,请评论留言或Q上主动联系我!

 

教程中网盘压缩软件包括:

OllyDBG_1.10汉化第二版

登录程序.exe

 

注意:使用压缩包里的程序(有可能电脑需要关闭杀毒软件或加入白名单)。

 

1、载入主程序

OllyDBG -  文件 - 打开 - 登录程序.exe;

OllyDBG

 

2、确保可以用“ESP定律”脱壳

我们按F8单步走走,注意右面寄存器FPU的显示,当有且只有ESPEIP红色时,我们可以用ESP定律了。

 

下图就是这样的例子,我们这时候可以右键ESP后面那个地址,然后,选择在数据窗口中跟随

OllyDBG数据窗口中跟随

或者

也可以直接在下面的“Command(命令)”窗口中输入dd 0019FF54后回车;dd 0019FF54

 

3、设置“硬件访问断点”位置

command窗口输入 HR 004A59B1 回车后完成,然后,我们按F9运行程序,此时程序会暂停在我们设置的断点位置。

OllyDBG断点位置

 

4、找OEP

然后,我们F8单步走,到了jnz位置后不要再按F8了(这是向上跳转的),我们用鼠标点击它的下一行,然后按F4,让程序强制转到跳转下面继续运行,到达jmp后我们必须跳过去,因为接下来就有可能是程序的OEP领空。

OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP)

OEP

 

5、清除硬件断点

OllyDBG - 调试 - 硬件断点;

清除硬件断点

 

 

6、开始脱壳

然后,右击程序当前位置第一行代码,选择用OllyDump脱壳调试进程

 

最后,我们在弹出的窗口中选择脱壳,然后,输入要另存为的文件名;

脱壳

    A+
发布日期:2020年03月20日 07:25:38  所属分类:渗透测试
最后更新时间:2020-03-25 13:45:50
评分: (20 票;平均数1.40 ;最高评分 5 ;用户总数20;总得分 28;百分比28.00)
头像
Sublime Text3使用视频教程:神级代码编辑工具
  • ¥ 15.0元
  • 市场价:15.0元
jQuery视频教程: 从零开始学合集
  • ¥ 39.0元
  • 市场价:39.0元
wp dz 帝国 dede phpcms等快速建站服务
wp dz 帝国 dede phpcms等快速建站服务
  • ¥ 999元
  • 市场价:4999元
服务器管理面板/主机控制面板“安装”服务
服务器管理面板/主机控制面板“安装”服务
  • ¥ 49.9元
  • 市场价:99.9元

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: