上一页 1 ··· 19 20 21 22 23 24 25 26 27 ··· 38 下一页
2019年12月28日
PELock 1.06 加密壳脱壳
摘要: 前言:PELock1.06.d的脱壳笔记 #什么是Stolen Bytes ##识别Stolen Bytes技巧点 1、CPU的EIP寄存器在壳程序的EP的时候,先记录此时的ESP栈顶指针的地址,后面到来你觉得是OEP的时候,然后通过比较此时的OEP和EP的ESP栈顶指针是否相同,如果你确定是OEP 阅读全文
posted @ 2019-12-28 15:12 zpchcbd 阅读(797) 评论(0) 推荐(0)
Yoda's Crypter 1.3.e 加密壳脱壳
摘要: 前言:Yoda's Crypter1.3.e脱壳笔记 #逆向过程 首先载入OD,界面为如下,并且红标处有pushad,尝试进行ESP定律脱壳,进行硬件断点 F9第一次来到popad的后面,如下图,那么里OEP也不远了,然后尝试对代码code段进行内存访问断点 然后继续F9,发现到了OEP处,那么此时 阅读全文
posted @ 2019-12-28 13:33 zpchcbd 阅读(789) 评论(0) 推荐(0)
2019年12月26日
GetProcAddress/LoadLibrary/ExitThread函数脱壳寻找OEP
摘要: 前言:通用的GetProcAddress/LoadLibrary/ExitThread定位脱壳寻找OEP 参考文章:https://bbs.pediy.com/thread-226716.htm #原理分析 如果是一个加密壳的话,那么大概率的话原程序的导入表,导出表,重定位表都被加密,然后加密壳会自 阅读全文
posted @ 2019-12-26 13:21 zpchcbd 阅读(635) 评论(0) 推荐(0)
2019年12月25日
HEX2BIN
摘要: 第一种方法: 第二种方法: 阅读全文
posted @ 2019-12-25 22:59 zpchcbd 阅读(426) 评论(0) 推荐(0)
OSS Key的安全问题
摘要: \ 平台Secquan \ 作者:某匿名小伙伴 1、找到一个上传文件处的地方进行burp抓包 上传文件请求包如下 返回包如下 可以看到直接返回了一个accesskey和accesspwd,通过观察返回包发现OSS字样,猜测上传的图片存放在OSS上面,前面的accesskey和accesspwd就是O 阅读全文
posted @ 2019-12-25 19:39 zpchcbd 阅读(1657) 评论(0) 推荐(0)
通过异常脱壳寻找OEP
摘要: 前言:通过异常脱壳寻找OEP的笔记 #最后一次异常脱壳的原理 这种方法类似内存执行断点来进行脱壳的方法,只是可能对于一些开头检测内存断点的程序会有一定的绕过作用 如果我们在脱壳的过程中发现目标程序产生大量异常的话,就可以使用最后一次异常法。 然后将EXCEPTIONS菜单项中的忽略各个异常的选项都勾 阅读全文
posted @ 2019-12-25 19:21 zpchcbd 阅读(372) 评论(0) 推荐(0)
VB程序脱壳寻找OEP
摘要: 前言:VB程序脱壳寻找OEP的笔记 #关于VB程序的OEP的特征 VB的脱壳难度整体会比其他程序会好脱点,可能是自身的机制的原因,VB和壳不能保持良好的兼容性,必须虚拟VMP壳对其也不支持,保护强度的确更低,还有一点就是特征也很明显。 VB程序的OEP的特征,一般都是push一个数据到堆栈,然后进行 阅读全文
posted @ 2019-12-25 17:28 zpchcbd 阅读(751) 评论(0) 推荐(0)
ESP定律脱壳寻找OEP
摘要: 前言:ESP定律脱壳寻找OEP笔记 #ESP定律脱壳的原理 ESP定律脱壳基于堆栈平衡所产生脱壳方法 首先相关的壳程序代码在一开始会使用PUSHAD指令将所有的寄存器入栈,在intel x86cpu中此时其中ESP寄存器中的值是记录着相关寄存器(ESI)的值。 然后我们ESP指向的内存处下一个硬件内 阅读全文
posted @ 2019-12-25 14:58 zpchcbd 阅读(607) 评论(0) 推荐(0)
内存执行断点脱壳寻找OEP
摘要: 前言:内存执行断点脱壳寻找OEP的笔记 内存执行断点来寻找OEP这种方法不一定准确,只是经验之谈 如果一开始知道OEP的地址话,那么成功脱壳的几率应该百分之百,如果不知道,那自己尝试如下的方法试试看 加载入OD,打开内存窗口观察,发现是UPX的壳 查看内存段中加载的信息 内存映射, 条目 22 地址 阅读全文
posted @ 2019-12-25 14:20 zpchcbd 阅读(381) 评论(0) 推荐(0)
OD的SFX自跟踪寻找OEP
摘要: 前言:OD的SFX自跟踪寻找OEP #SFX跟踪 OD程序自带的调式功能,用来寻找相应程序的OEP SFX法和模拟跟踪法比较相似,只不过SFX是OD本身提供的功能。 SFX法有两种方式,一种是通过判断块的形式看是否到达OEP处,另一种是通过判断字节的形式。显而易见块判断形式速度快但是准确度低,字节形 阅读全文
posted @ 2019-12-25 13:21 zpchcbd 阅读(927) 评论(0) 推荐(0)
上一页 1 ··· 19 20 21 22 23 24 25 26 27 ··· 38 下一页