[软件调试].张银奎 我们看到,尽管可以使用相对于栈顶(ESP寄存器)的偏移来引用局部变量,但是因为ESP寄存器经常变化,所以用这种方
一.准备知识 在我们开始讨论ESP定律之前,我先给你讲解一下一些简单的汇编知识。 1.call 这个命令是访问子程序的一个汇编基本指令。也许你说,这个我早就知道了!别急请继续看完。call真正的意义是什么呢?我们可以这样来理解: 1.向堆栈中压入下一行程序的地址; 2.JMP到call的子程序地址处。 例如: 00401029.E8 DA240A00 call 004A3508
0040102E
上一篇使用单步调试的方法非常慢,还可以使用ESP定律法快速定位。 ESP定律是根据栈帧只受本函数改变,如果有其它函数想改变的话,ESP值必定会改变。 如果在ESP处设置断点,就可以快速定位程序入口OEP。 OllyDbg打开notepad.exe文件:这里我们看到程序用了pushad来保存现场环境。我们单步,按F8步过一下,运行至0040D002的位置:这时在Ollydbg右侧的寄
原创
2022-07-08 23:59:10
224阅读
0x00 前言 闲着也是闲着,在逆向某软件时深入了解了下ESP定律,然后就想写个文章记录并分享下。 ESP定律又称堆栈平衡定律,是应用频率最高的脱壳方法之一 ,不论是新手还是老手都经常用到。据我所知,ESP定律是一位外国大牛发现的,但目前已无从考证(未找到相关资料)。 0x01 前置知识 栈 栈(s ...
转载
2021-08-23 14:55:00
245阅读
2评论
第一步:查壳第二步:用OD载入。第三步:按F8单步向下走,注意,当右边的ESP(堆栈指针寄存器),和EIP( 指令指针寄存器)同时变红时,就停下。第四步:记下ESP地址,并在左下角的Commanc中输入 dd ESP所对应的地址。 并回车。第五步:在数值下面单击右键--断点----硬件访问---WORD。第六步:按F9运行来到断点。第七步:然后在按F8单步向下走,注意:一个大跳转就来到程序的OEP,也就是 程序的入口。第八步:单击右键---脱壳在当前调试的进程---复制修正为处的地址(也就是 程序的入口地址)第九步:修复。
转载
2010-04-21 09:41:00
166阅读
2评论
ESP定律手工脱壳步骤
第一步:查壳
第二步:用OD载入。
第三步:按F8单步向下走,注意,当右边的ESP(堆栈指针寄存器),和EIP(
指令指针寄存器)同时变红时,就停下。
第四步:记下ESP地址,并在左下角的Commanc中输入 dd ESP所对应的地址。
并回车。
第五步:在数值下面单击右键--断点----硬件访问---WO
原创
2008-01-23 10:42:00
2214阅读
第一步:先用PEID查壳
第二步:用OD载入程序.exe。
第三步:按F8单步向下走,当右边的ESP(堆栈指针寄存器),和EIP(
指令指针寄存器)同时变红时,立即停下。
第四步:记下ESP地址,并在左下角的Commanc中输入 dd ESP所对应的地址。
并回车。
第五步:在数值下面单击右键--断点----硬件访问---WORD。
第六步:按F9运行来到断点。
第
原创
2010-05-10 21:56:50
10000+阅读
膜电位 Membrane potential这个术语也经常看到,不知道的时候一脸懵逼。细胞内部和它周围的电位差叫做膜电位。当没有刺激输入的时候,休息的神经元处于一种稳定的膜电位, 当一个脉冲达到神经元的时候,电位改变,然后最终又慢慢回归到休息电位 resting potential。突触后电位 Postsynaptic Potentials(PSP)如果电压差(当前电压 - 休息电压)为正,叫做兴
网上说的esp定律脱壳时都说到“当esp变红时下访问断点”却没说明为什么,其实od当寄存器变化时就会变红,也就是说实质是留意堆栈什么时候变化。 而把壳当成一个call,当调用壳这个call时会压栈,esp变红。
原创
2021-09-01 11:39:30
87阅读
ESP定律详细解说作者:Azrael 日期:2009-09-13字体大小: 小 中 大 一.准备知识 在我们开始讨论ESP定律之前,我先给你讲解一下一些简单的汇编知识。 1.call 这个命令是访问子程序的一个汇编基本指令。也许你说,这个我早就知道了!别急请继续看完。call真正的意义是什么呢?我们可以这样来理解: 1.向堆栈中压入下一行程序的地址; 2.JMP到cal
1.了解EBP寄存器在寄存器里面有很多寄存器虽然他们的功能和使用没有任何的区别,但是在长期的编程和使用 中,在程序员习惯中已经默认的给每个寄存器赋上了特殊的含义,比如:EAX一般用来做返回值,ECX用于记数等等。在win32的环境下EBP寄存器用与 存放在进入call以后的ESP的值,便于退出的时候回复ESP的值,达到堆栈平衡的目的。应用以前说过的一段话:原程序的OEP,通常是一开始以 Push
转载
2014-08-10 15:51:00
86阅读
2评论
作者:Lenus FROM: poptown.gamewan.com/bbs E-MAIL:[email]meila2003@163.com[/email] 1.前言 在论坛上看到很多朋友,不知道什么是ESP定律,ESP的适用范围是什么,ESP定律的原理是什么,如何使用ESP定律?看到了我在“”调查结果发现,大家对ESP定律很感兴趣,当然因为实在是太好用了,现在我就来告诉大家什么是ESP定律,它的
转载
精选
2007-06-23 18:24:23
1668阅读
编辑ESP定律算是我们在脱壳当中最常使用的方法之一,也特别适合像我一样的新手!而今天文章说的是ESP脱壳的原理和分析!只有知道原理了,我们的技术才能走得列远! 一.准备知识在我们开始讨论ESP定律之前,我先给你讲解一下一些简单的汇编知识。 1.call这个命令是访问子程序的一个汇编基本指令。也许你说,这个我早就知道了!别急请继续看完。call真正的意义是什么呢?我们可以这样来理解: 1.向堆栈中
OD动调之脱壳:使用ESP定律寻找using ODF8 sigle stepUntil stopThen data window follow!Block!then F9!Jmp -> oep401171You can unpack upx!
原创
2023-09-03 22:18:05
106阅读
using ODUntil stopBlock!then F9!Jmp -> oep401171。
原创
2023-10-01 09:57:03
186阅读
关于成功,有很多定律,比较有名的就是荷花定律、竹子定律和金蝉定律。他们都有共同的意义:成功,需要厚积薄发,要忍受煎熬,要耐得住寂寞,坚持,坚持,再坚持,直到最后成功的那一刻。荷花定律一个池塘里的荷花,每一天都会以前一天的2倍数量在开放。如果到第30天,荷花就开满了整个池塘。请问:在第几天池塘中的荷花开了一半?第15天?错!是第29天。这就是荷花定律。第一天开放的只是一小部分,第二天,它们会以前
原创
2022-02-26 18:20:03
280阅读
关于成功,有很多定律,比较有名的就是荷花定律、竹子定律和金蝉定律。他们都有共同的意义:成功,需要厚积薄发,要忍受煎熬,要耐得住寂寞,坚持,坚持,再坚持,直到最后成功的那一刻。 荷花定律 一个池塘里的荷花,每一天都会以前一天的2倍数量在开放。
原创
2021-07-14 17:12:20
701阅读
导读:
FROM: poptown.gamewan.com/bbs
E-MAIL:meila2003@163.com
1.前言
在论坛上看到很多朋友,不知道什么是ESP定律,ESP的适用范围是什么,ESP定律的原理是什么,如何使用ESP定律?看到了我在“”调查结果发现,大家对ESP定律很感兴
转载
精选
2008-01-23 10:43:00
3766阅读
二八定律 20%的人用脖子以上来挣钱 80%的人用脖子以下赚钱 20%的人正面思考着 80%的人负面思考着 20%的人买时间 80%的人卖时间
摩尔定律是由英特尔创始人之一戈登·摩尔提出来的。其内容为:集成电路上可容纳的电晶体数目,约每隔24个月便会增加一倍;经常被引用的“18个月”是由英特尔首席执行官David House所说:预计18个月会将芯片的性能提高一倍(即更多的晶体管使其更快)。 尽管这种趋势已经持续了超过半个世纪,摩尔定律仍应该被认为是观测或推测,而不是一个物理或自然法。预计定律将持续到至少2015年或2020年。然而,20
