CTF 备忘

手动脱壳

Posted by Mr.Be1ieVe on Monday, January 13, 2020

手动脱壳

可分为压缩壳(常见的有UPX、北斗、ASDPack、Npack、PECompact等)和保护壳(如强壳Safengine、VMprotect、winlicense、Themida等),压缩壳作用是把程序进行体积缩小化处理,保护壳主要作用是混淆或加密代码防止他人进行逆向程序、破解程序。

注意右面寄存器FPU的显示,当有且只有ESP和EIP为红色时,我们可以用ESP定律了

ESP定律

参考

nsPack

还要找到OEP,所谓的OEP,意即程序的入口点,可以用OD载入,不分析代码。

首先已知是nSPack壳,直接用OD打开,发现pushfd和pushad两句关键句:==win下的吾爱破解版od可== image-20190820143025540

ESP定律的落脚点,可以看到落脚点下面一行就是一个大跳转,继续F8

image-20190820143113466

image-20190820143126509

image-20190820143150130

image-20190820143211831

「真诚赞赏,手留余香」

Mr.Be1ieVe's Treasure

真诚赞赏,手留余香

使用微信扫描二维码完成支付

CATALOG
    FEATURED TAGS
    awd buu ctf hackthebox linux使用 xray 专业学习 基础知识 学习笔记