ESP定律.pdfVIP

( 文详解)ESP定律脱壳+修复 认分类 2009-05- 13 10:13 阅读211 评论0 字号： 大 中 ASPack 2.12 - Alexey Solodovnikov 一个压缩壳，今天我们用ESP定律脱壳，使用LoadPE来保存Dump脱壳后文件，并用IR （ImportREC）来修复脱壳 文件。 005AD001 60 pushad ; OD载入后来到这里 005AD002 E8 call 005A D00A ; 我们F8一次来到该CALL，此时我们看寄存器窗口的 ESP地址 005AD007 - E9 EB045D45 j mp 45B7D4F7 005AD00C 55 push ebp 005AD00D C3 retn 我们使用ESP定律脱壳,见图文说明: 005AD3B0 /75 08 j nz short 005AD3BA ; F9一次后来到这里 005AD3B2 |B8 mov eax, 1 005AD3B7 |C2 0C00 retn 0C 005AD3BA \68 181C5000 push 00501C18 005AD3BF C3 retn ; 退出这个retn后就来到OEP处 00501C18 55 push ebp ; 程序的OEP 使用LoadPE保存文件 IR修复 看我操作 00501C19 8BEC mov ebp, esp 00501C1B 83C4 F0 add esp, - 10 00501C1E 53 push ebx 00501C1F B8mov eax, 00501C24 E8 1F4CF0FF call 然后我们使用LoadPE脱壳,看我操作: 使用IR修复: 第一步：我们选择我们调试的原程序 第二步：我们在OEP处填入数据 此时我们看下OD 中的OEP地址 OEP=00501C1800101C18 所以我们在此填入OEP=00101C18 然后点自动搜索IAT 点确定 第三步：我们选择获取输入表 看上方的输入表数据都为真 无需修复 所以我们点修复抓取文件 -- 即我们使用LoadPE脱壳的文件 我们运行修复好的文件,OK,可以运行,再用PEiD查壳:Borland Delphi 6.0 - 7. 当无法使用ESP定律时 EBP的妙用 发布时间：2007.02.11 04:48 来源：赛迪网安全社区 作者：Lenus 1.了解EBP寄存器 在寄存器里面有很多寄存器虽然他们的功能和使用没有任何的区别，但是在长期的编程和 使用中，在程序员习惯中已经 认的给每个寄存器赋 了特殊的含义，比如：EAX一般用来做 返回值，ECX用于记数等等。在win32 的环境下EBP寄存器用与存放在进入call以后的ESP 的值， 便于退出的时候回复ESP 的值，达到堆栈平衡的目的。 应用以前说过的一段话： 原程序的OEP，通常是一开始以Push EBP 和MOV Ebp,Esp这两句开始的，不用我多说大家 也知 这两句的意思是以EBP代替ESP，作为访问堆栈的指针。 为什么要这样呢？为什么几乎每个程序都是的开头能？因为如果我们写过C等函数的时候就 应该清楚，程序的开始是以一个主函数main （）为开始的，而函数在访问的过程中最重要的事 情就是要确保堆栈的平衡，而在win32 的环境下保持平衡的办法是这样的： 1.让EBP保存ESP 的值； 2.在结束的时候调用 mov esp,ebp pop ebp retn 或者是