一、单步

1.载入PEID查壳

EZIP v1.0

2.载入OD,一上来就是一个大跳转,F8单步一直走

0040D0BE > $ /E9 19320000   jmp Notepad.004102DC              ;  //入口点
0040D0C3   . |E9 7C2A0000   jmp Notepad.0040FB44
0040D0C8   $ |E9 19240000   jmp Notepad.0040F4E6
0040D0CD   $ |E9 FF230000   jmp Notepad.0040F4D1
0040D0D2   . |E9 1E2E0000   jmp Notepad.0040FEF5
0040D0D7   $ |E9 882E0000   jmp Notepad.0040FF64
0040D0DC   $ |E9 2C250000   jmp Notepad.0040F60D

3.基本上这个壳靠F8就可以走完了,除了一个向上跳转的位置在下一行F4,然后继续F8

00410611  |.  83C0 28       |add eax,0x28
00410614  |.  8985 ECFDFFFF |mov [local.133],eax
0041061A  |.^ E9 40FFFFFF   \jmp Notepad.0041055F             ;  //向上跳转的下一行F4
0041061F  |>  FFB5 E8FDFFFF push [local.134]
00410625  |.  FF95 D4FCFFFF call [local.203]
0041062B  |.  8D85 94FCFFFF lea eax,[local.219]
00410631  |.  50            push eax

4.找到指向OEP的跳转

00410684  |.  5B            pop ebx
00410685  |.  8BE5          mov esp,ebp
00410687  |.  5D            pop ebp
00410688  |.- FFE0          jmp eax                           ;  //指向OEP的跳转
0041068A  |>  5F            pop edi
0041068B  |.  5E            pop esi
0041068C  |.  5B            pop ebx
0041068D  |.  C9            leave

5.来到OEP

004010CC    55              push ebp                          ; //来到OEP
004010CD    8BEC            mov ebp,esp
004010CF    83EC 44         sub esp,0x44
004010D2    56              push esi
004010D3    FF15 E4634000   call dword ptr ds:[0x4063E4]
004010D9    8BF0            mov esi,eax
004010DB    8A00            mov al,byte ptr ds:[eax]
004010DD    3C 22           cmp al,0x22

6.脱壳后不能运行,我们需要使用loadPE重建PE表

7.运行查壳

运行OK,查壳:Microsoft Visual C++ v6.0 SPx

二、ESP

1.载入OD,一上来就是一个大跳转,F8单步一直走

0040D0BE > $ /E9 19320000   jmp Notepad.004102DC              ;  //入口点
0040D0C3   . |E9 7C2A0000   jmp Notepad.0040FB44
0040D0C8   $ |E9 19240000   jmp Notepad.0040F4E6
0040D0CD   $ |E9 FF230000   jmp Notepad.0040F4D1
0040D0D2   . |E9 1E2E0000   jmp Notepad.0040FEF5
0040D0D7   $ |E9 882E0000   jmp Notepad.0040FF64
0040D0DC   $ |E9 2C250000   jmp Notepad.0040F60D
0040D0E1   $ |E9 AE150000   jmp Notepad.0040E694
0040D0E6   $ |E9 772B0000   jmp Notepad.0040FC62

2.跳转落脚点,落脚点是一个push,push的下一行使用ESP定律,下硬件访问断点,然后SHIFT
+F9运行一次

004102DC  /> \55            push ebp                          ;  //落脚点
004102DD  |.  8BEC          mov ebp,esp                       ;  //这里使用ESP
004102DF  |.  81EC 28040000 sub esp,0x428
004102E5  |.  53            push ebx
004102E6  |.  56            push esi
004102E7  |.  57            push edi
004102E8  |.  8D85 94FCFFFF lea eax,[local.219]
004102EE  |.  50            push eax

3.来到指向OEP的跳转,再F8一下

00410688  |.- FFE0          jmp eax                           ;  //指向OEP的跳转
0041068A  |>  5F            pop edi
0041068B  |.  5E            pop esi
0041068C  |.  5B            pop ebx
0041068D  |.  C9            leave
0041068E  \.  C3            retn
0041068F      CC            int3

4.来到OEP,脱壳,重建PE表,运行,查壳

004010CC    55              push ebp                          ; //来到OEP
004010CD    8BEC            mov ebp,esp
004010CF    83EC 44         sub esp,0x44
004010D2    56              push esi
004010D3    FF15 E4634000   call dword ptr ds:[0x4063E4]
004010D9    8BF0            mov esi,eax
004010DB    8A00            mov al,byte ptr ds:[eax]
004010DD    3C 22           cmp al,0x22

转载于:https://www.cnblogs.com/JianXu/p/5158384.html

手脱EZIP v1.0相关推荐

  1. 机械厂html5手机模板,营销型机械消费设备企业通用织梦模板(带html5手机端) v1.0...

    营销型机械消费设备企业通用织梦模板简介 营销型机械消费设备企业通用织梦模板(带html5手机端)v1.0是一个自适应手机端和PC端的最新版织梦V5.7为内核的网站模板,软件兼容主流浏览器,模板包含安装 ...

  2. 手脱ASProtect v1.23 RC1(无Stolen Code)

    1.载入PEID ASProtect v1.23 RC1 2.载入OD,不勾选内存访问异常,其他异常全部勾选 00401000 > 68 01C04200 push 跑跑排行.0042C001 ...

  3. 手脱ACProtect V1.4X(有Stolen Code)之补区段

    首先需要说的是,这个壳是ximo大神视频教程里的 0041F000 > 60 pushad ; //程序入口点 0041F001 E8 01000000 call NgaMy.0041F007 ...

  4. 手脱FSG 2.0 - bart/xt

    声明: 只为纪录自己的脱壳历程,高手勿喷 1.在入口的第二行ESP定律下硬件断点然后F9运行8次(因为第9次就跑飞了) 0040955C > 60 pushad 0040955D EB 04 j ...

  5. 仙侠情缘传java下载_仙侠情缘传手游官方下载-仙侠情缘传手游下载v1.0 安卓版-西西安卓游戏...

    仙侠情缘传手游是一款回合制的修仙系列手游,可以直接登陆游戏中进行体验,通过收集宠物,培养天兵天将与其它宝宝帮助你进行战斗,画风十分Q版. 仙侠情缘传手游特色 [唯美场景 3D大世界] 场景大气恢弘而小 ...

  6. 手脱PE Pack v1.0

    1.PEID查壳 PE Pack v1.0 2.载入OD,一上来就这架势,先F8走着 00403235 > /74 00 je short Pepack_1.00403237 ; //入口点 0 ...

  7. 课表网页完整的php代码,练手Lab课程表小程序源码v1.0.0 Thinkphp 前后端分离

    练手Lab课程表小程序源码是一个基于Thinkphp系统进行开发的前后端分离系统. 源码功能介绍 1.情侣功能 2.情侣间留言 3.情侣间互相设置课程表背景 4.自己日.周课程表背景设置 5.教务系统 ...

  8. 益盟操盘手盯盘先锋(L-2) v1.0.0.0官方版

    2019独角兽企业重金招聘Python工程师标准>>> 名称:益盟操盘手盯盘先锋(L-2) v1.0.0.0官方版 版本:1.0.0.MB 大小:18.9MB 软件语言:简体中文 软 ...

  9. 手机android游戏制作工具,主题制作工具手机下载_主题制作工具安卓版下载v1.0.4_3DM手游...

    <主题制作工具>不是一款常规的主题类手机软件,它的功能主要是能够让用户进行自己的DIY.用户通过<主题制作工具>可以发挥自己的想象力,创造出拥有自己个性的手机主题,喜欢的朋友不 ...

最新文章

  1. 自动化部署脚本,给每一台主机装上JDK,且配好环境变量
  2. 余额宝放10万元,一年收益大概有多少钱?
  3. 梯度下降法预测波士顿房价以及简单的模型评估
  4. session很快失效_深夜,我偷听到程序员要对session下手...
  5. promise用法_Promise的秘密
  6. Python菜鸟入门:day10模块介绍
  7. 论计算机网络的发展及运用,试论计算机网络发展及其应用研究
  8. linux 装gcc组件,linux下安装redis组件报错-gcc报错
  9. jmeter元件的作用域与执行顺序
  10. 一款软件测试脚本生成工具
  11. CISP 考试教材《第 5 章 知识域:安全工程与运营》知识整理
  12. JavaScript ,js基础
  13. 【FLUENT案例】01:T型管混合器中的流动与传热
  14. BugkuCTF writeup
  15. 2.Button按钮实例:普通按钮和图片按钮
  16. 赚钱项目:1万粉丝的公众号,年赚15万!
  17. HTML+CSS笔记5
  18. 收集的一些GIS数据网站
  19. Word 去除脚注分隔线前的空格
  20. 深度学习—利用TensorFlow2实现狗狗品种品种(resnet50实现)

热门文章

  1. 收藏一个有趣的帖子,现在的客户端真有点让人不安,难怪XSS。。。
  2. 因子和,因子数,1到n的因子和,1到n的因子数(积性函数)
  3. 基于Proxy思想的Android插件框架
  4. python打架动态图_20个GIF动图解释令程序员崩溃的瞬间 - 里维斯社
  5. php接口返回错误码,laravel 错误处理,接口错误返回json代码
  6. MySQL编程技巧_PHP与MySQL开发的8个技巧小结
  7. 持续集成mysql_持续集成环境搭建(5)zabbix搭建和使用
  8. thymeleaf 获取yml中的值_SpringBoot引入Thymeleaf
  9. xp下administrator用户登录条不显示,怎么办?
  10. 安装完matlab7.0但无法运行