ESP定律
前言:
Shark恒的教程,学到第四课,自验证涉及到ESP定律进行脱壳。然后我去看了一遍,发现还行。这里做个总结。
全职猎人看到了嵌合蚁篇
正文:
首先这里自己找个exe用吾爱工具的,ASP加壳工具进行加壳。用PEID查壳可以发现是ASP壳
拖入OD,并进行一次单步,发现有Pushad而且单步之后也只有ESP后面出现红色说明可以使用ESP定律进行脱壳
然后将鼠标移到ESP值那里右键单击数据窗口中跟随
选中跟随的值,多少无所谓只要是开头的就行
右键单击断点,硬件断点,三选一
断点之后按调试->硬件断点可以看见
按F9运行,然后F8单步(让他跳到call)
鼠标右键点击插件进行脱壳,保存
在次查壳,发现已经脱了。
ESP定律还有更简单的方法,就是你单步了之后把鼠标移到ESP值那里选择ESP那个插件,然后步骤同上。
转载请注明来自:422926799.github.io
转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。
文章标题:ESP定律
本文作者:九世
发布时间:2018-08-26, 16:20:01
最后更新:2019-04-19, 20:36:16
原始链接:http://jiushill.github.io/posts/7e162ea7.html版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。