首页 > 其他分享 >一次简单的脱壳

一次简单的脱壳

时间:2024-08-30 12:52:40浏览次数:11  
标签:脱壳 一次 ESP F9 简单 地址 指令 跳转 断点

涉及:ESP 定律

例:https://files.cnblogs.com/files/blogs/824994/Magic_Shell.zip?t=1724993084&download=true

x64dbg 打开 -> 符号 -> magic_shell.exe

下断点

F9 运行到 EP

单步过 push,能看见 RSP 的值变红

根据 ESP 定律,下硬件断点


F9 跳转后在最近的 jmp 跳转下断点

运行到断点处 F7 步入

这个位置就是 OEP,使用插件 Scylla dump 出就可以了

ESP 定律
ESP 定律的本质在于利用堆栈的平衡原理。在程序中,当执行函数调用时,会使用栈来保存函数的返回地址和局部变量。当函数执行完成时,栈中的数据将被弹出并恢复到调用函数之前的状态。这个过程涉及到两个关键的指令:callret。call 指令会将下一条指令的地址压入栈中,以便在函数执行完成时能够返回;而 ret 指令则会将栈顶的地址弹出并跳转到这个地址,从而完成函数调用的返回操作。

一般流程:当单步执行时只有 ESP(RSP)变红,变红就是值发生改变,因此找到 ESP 所指向的内存位置,下硬件断点,F9 运行到停下的位置,接着一般有一处跳转,完成跳转之后的地方就是 OEP。

适用范围:几乎全部的压缩壳,部分加密壳。

标签:脱壳,一次,ESP,F9,简单,地址,指令,跳转,断点
From: https://www.cnblogs.com/butt3rf1y/p/18388503

相关文章

  • 做个简单的网站
    做个简单的网站先看看…<!DOCTYPEhtml><htmllang="zh-cn"><head><metacharset="UTF-8"><title>我的个人介绍</title></title><style>p{color:red}</head><body><h1>我的个人介绍</h1......
  • 一个符合软件开发工程师认知的思考框架简单了解下
    软件开发需要使用到编程语言,不管是前端、后端或中间件。下面这段代码来自Spring框架的源码ClassNameGenerator#clean:privateStringclean(Stringname){//创建一个可变的字符串构建器,用于存储清理后的字符串StringBuilderclean=newStringBuilder();//用......
  • 安全高效,一键搞定:Ftrans文件摆渡系统让数据流转更简单!
    随着互联网技术的不断发展,网络攻击手段也不断的更新,为了防止外部攻击和内部数据泄密,高科技企业一般会实施内外网隔离,甚至在内部网络中又划分出业务网、办公网、生产网等进行隔离。但基于业务的需求,隔离网间仍存在文件传输的需求。如何通过文件摆渡系统,在保证数据安全的前提下,高效......
  • ROS 简单导航
        导航是现代机器人可以说是必备的功能,很多机器人都不可以缺少这个功能,本文仍然是通过ros的topic话题通讯机制,结合了map和导航相关的话题,通过手动设置目标点,完成了对于机器人导航的控制。    1.首先需要导包:importrospyimportactionlibfrommove_base_m......
  • 使用zig语言制作简单博客网站(六)文章详情页
    前端代码前端代码<!DOCTYPEhtml><htmllang="zh-CN"><head><metacharset="UTF-8"><metaname="viewport"content="width=device-width,initial-scale=1.0"><link......
  • 简单介绍数据库
    基本概念数据库(DataBase,DB)定义数据库是相互关联的数据项的集合简单来说,就是存储数据的地方特点结构化:数据通常以表格、行和列的形式组织持久性:数据长期保存,防止丢失数据关联:数据项之间可以定义关系即不同的表格之间通过相同的信息联系起来,这个相同的信息就叫做......
  • python读取配置文件&&简单封装 公共配置文件 config
    之前有做过把爬虫数据写到数据库中的练习,这次想把数据库信息抽离到一个ini配置文件中,这样做的好处在于可以在配置文件中添加多个数据库,方便切换(另外配置文件也可以添加诸如邮箱、url等信息)1.configparser模块python使用自带的configparser模块用来读取配置文件,配置文......
  • 【挖矿病毒】简单逆向分析
    在虚拟机中执行explorer.exe后,它会在/Windows/Fonts/目录中释放恶意文件,包括主加密挖掘程序文件、包含启动挖掘过程的恶意命令的批处理文件以及两个注册表文件,其注册表子项和值稍后将被插入到系统注册表使用regedit.exe。释放的恶意文件包括:svchost.exe1.batserver.reg......
  • 利用通义灵码实现我的第一次开源贡献
    作者:重庆邮电大学计算机学院李逸雄结缘开源最早了解开源是从学校的兴趣组织开始的。2023年10月21日,openSUSE亚洲峰会在我们学校召开,这次会议汇聚了许多来自openSUSE社区贡献者以及对开源感兴趣的爱好者们。我第一次知道有这么多志同道合的爱好者在进行开源贡献,他们以个......
  • 利用通义灵码实现我的第一次开源贡献
    作者:重庆邮电大学计算机学院李逸雄结缘开源最早了解开源是从学校的兴趣组织开始的。2023年10月21日,openSUSE亚洲峰会在我们学校召开,这次会议汇聚了许多来自openSUSE社区贡献者以及对开源感兴趣的爱好者们。我第一次知道有这么多志同道合的爱好者在进行开源贡献,他们以个......