學習 脫殼之記憶體執行尋找OEP

2022-03-13 23:25:03 字數 1009 閱讀 7622

前言:類似排除法,如果一開始知道oep的位址話,那麼成功脫殼的機率應該百分之百,如果不知道,那自己嘗試的時候,還是需要檢查檢查

1、直接加載入od,開啟記憶體視窗觀察,發現是upx的殼

記憶體對映, 條目 22

位址=00401000

大小=00008000 (32768.)

屬主=crackme_ 00400000

區段=upx0

包含=輸出表

型別=imag 01001002

訪問=r

初始訪問=rwe

記憶體對映, 條目 23

位址=00409000

大小=00001000 (4096.)

屬主=crackme_ 00400000

區段=upx1

包含=**

型別=imag 01001002

訪問=r

初始訪問=rwe

記憶體對映, 條目 24

位址=0040a000

大小=00001000 (4096.)

owner=crackme_ 00400000

section=.rsrc

contains=data,imports,resources

type=imag 01001002

access=r

initial access=rwe

2、知道了upx1是**段,那麼這個程式在執行的時候肯定不會把自己的**段upx1進行解密然後再進行寫入,那麼值得懷疑的區段就只有.rsrc 和 upx0,那麼直接給upx0下記憶體斷點,原因是upx1區段解密完會在別的區段進行寫入解密完之後的**,所以當訪問的時候,也就是解密的時候的**,那麼直接f9執行,發現成功來到oep

學習 脫殼之SFX尋找OEP

sfx ollydebug是程式自帶的調式功能,用來尋找相應的oep 使用注意 sfx使用的範圍是當程式載入od之後,入口點必須是 段之外才可以用,如下,所以當引導程式的時候入口點必須00401000 00402000之外才可以使用sfx 第一種方法使用 塊方式跟蹤真正入口點 設定完紅標處直接執行f...

脫殼學習記錄 DLL找OEP

還是做一些加密解密3的學習記錄 dll檔案脫殼相比於exe脫殼困難一些 用peeditor檢視一下加殼後的dll檔案的資訊 imagebase預設定位在了00400000處,可是我們用od開啟會發現並不是 如果你的od有插間或者輔助程式loaddll.exe就可以開啟dll檔案了,可以去下乙個 用o...

兩次記憶體斷點法尋找OEP

逆向過程中通過會遇到脫殼的過程,而脫殼的方式有有多重,如果手工脫殼,需要找到oep。所謂 兩次記憶體斷點法尋找oep 按照 加密與解密 第三版 上的解釋來說,就是這樣的。一般的外殼會依次對.text rdata data rsrc區塊進行解壓 解密 處理,所以,可以先在.rdata data等區塊下...