脱壳的目的就是找到被隐藏起来的OEP(入口点)
这里我一共总结了三种方法,都是些自己的理解希望对你们有用
单步跟踪法
一个程序加了壳后,我们需要找到真正的OEP入口点,先运行,找到假的OEP入口点后,单步调试,我们不能让程序向上调试,只能让程序向下调试,遇到向上调试的将鼠标光标指到下一个,按F4,或者下个断点运行也可以跳过向上调试的点。当我们遇到有很大跨度的调试时,有可能就是真的OEP入口点
利用ESP定律进行脱壳
这里的ESP定律进行脱壳就是要下硬件断点,从而找到真正的OEP位置
这里先将程序用x86dbg运行起来,然后找到假的oep入口点,进行单步调试,看寄存器中的ESP,是否变红,一般只有当ESP变红后,步骤如下
然后点击运行跳到刚才打的断点处,到了断点处后,一般来说就已经找到真的oep入口点了,但还是得看当时所在得函数,一个模块程序得入口点的函数push(入栈),万一跳转到这个断点处没有看到push也没关系,因为真正的eop已经在附近了,再次点击运行,看会跳转到哪,是否有push字样,同时看程序是否真正进入且运行起来,注意看call这个汇编代码,这个意思是调用子函数的意思,可能这个子函数就是真正eop入口点。
一步直达法
这里的方法就是先找到程序假的oep(入栈)点,因为有入栈点,那必然是有出栈点的,而我们的一步直达就是如此,按ctrl+f查找函数的位置,这个时候不要着急,因为真正的oep已经在附近了,然后一直向下步过,注意call这个函数,因为有些会直接调用子函数,而某些子函数中就是我们要找的真正oep入口点
以上是我自己的个人理解,没有加图片进去,大家看着来就好,但注意,利用ESP定律进行脱壳是可以保证百分百把壳脱掉的,其他的方法根据情况而定。
