逆向入门--何为OEP

已于 2023-04-12 15:54:24 修改
阅读量1.2k 收藏 6
点赞数
分类专栏: 单片机逆向工程师成长手册 文章标签: 汇编 逆向 c语言 ollydbg 学习
于 2023-04-11 08:38:09 首次发布
晶通物控科技-转载请注明出处
本文链接:https://blog.csdn.net/Junping1982/article/details/130066883
版权
本文介绍了EXE加壳软件的脱壳相关知识,特别是原始入口点(OEP)的概念。文章详细讲解了五种查找OEP的方法,包括通过OD调试器的单步跟踪、ESP定理、内存跟踪等技巧。这些方法适用于不同类型的壳,对于新手学习软件逆向工程和脱壳具有指导意义。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  本人所写的博客都为开发之中遇到问题记录的随笔,主要是给自己积累些问题。免日后无印象,如有不当之处敬请指正(欢迎进扣群 24849632 探讨问题);

本文归纳整理EXE加壳软件的脱壳相关知识及链接

=============================

新手必须懂得什么叫OEP,以及查找的常用方式软件破解什么是oep?


original entry point 原始入口点

常见脱壳知识:1.PUSHAD (压栈) 代表程序的入口点 
2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近拉! 
3.OEP:程序的入口点,注意这点:软件加壳就是隐藏了OEP(或者用了假的OEP), 
只要我们找到程序真正的OEP,就可以立刻脱壳。 

方法一: 
1.用OD载入,不分析代码! 
2.单步向下跟踪F8&

了解本专栏 订阅专栏 解锁全文 超级会员免费看
[网络安全自学篇] 六十二.PE文件逆向之PE文件解析、PE编辑工具使用和PE结构修改(三)
杨秀璋的专栏
03-25 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名,采用Signtool工具对EXE文件进行签名,接着利用Asn1View、PEVie、010Editor等工具进行数据提取和分析。本文将详细介绍PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等,这也为后续PE病毒和恶意代码的攻防打下扎实基础。希望这篇基础文章对您有所帮助~
[网络安全自学篇] 八十九.PE文件解析之通过Python获取时间戳
热门推荐
杨秀璋的专栏
07-23 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了基于机器学习的恶意代码检测技术,包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。这篇文章将尝试软件来源分析,结合APT攻击中常见的判断方法,利用Python调用扩展包进行溯源,但也存在局限性。文章同时也普及了PE文件分析和APT溯源相关基础,基础性文章,希望对您有所帮助~
病毒分析-程序的原始入口点OEP
Alsn86的博客
10-25 481
OEP是程序在未被修改或加壳前的最初执行位置,也就是程序开发者设定的入口点。在正常情况下,一个程序只有一个EP(Entry Point,程序的入口点),这个EP就是OEP。然而,在某些情况下,如程序被加壳(一种保护程序不被反编译或压缩的技术)后,EP可能会被修改为一个指向壳代码的地址。此时,为了找到程序的真正入口点,就需要找到OEP
深入探索 OEP 与堆栈平衡法:原理、汇编实现及应用
最新发布
m0_57836225的博客
02-13 703
堆栈平衡法是寻找 OEP 的一种有效方法,通过深入理解堆栈操作和程序执行原理,结合汇编代码分析,我们可以在复杂的程序环境中准确找到 OEP。在实际应用中,需要不断积累经验,熟练掌握调试工具的使用,同时结合其他逆向工程技术,才能更好地应对各种挑战。希望本文对读者在逆向工程学习和实践中有所帮助,让大家在探索程序内部奥秘的道路上更进一步。
逆向OEP的特点(附加逆向练习160题之001)
bilibili的博客
01-12 1557
可以从程序里找一些call的调用最终都会走到上面核心代码图位置(文字不太好表达),这个方法可以区分和VC的区别,非独立编译比较容易识别,入口特征和模块特征都有krnln.fnr。 拿到手一个exe 首先看他有没有加壳,要知道其是否加壳我们就得知道不同编译器编译出来的标准OEP是什么样子的。主流语言编译器包括VC,易语言,.net,delphi等等,及不常见得VB,asm等等。 一:VC6 标准
什么是OEP
liaomin416100569的专栏
05-07 2391
OEP OEP:(Original Entry Point),程序的入口点 为加壳的程序 oep表示程序的入口点  加壳的程序会隐藏oep 找到真正的oep可以脱壳 并且反向调试程序
新手必须懂得什么叫OEP,以及查找的常用方式软件破解什么是oep?
要不,单步调试走起?
11-16 5940
转自: S.l.e!ep.¢% - C++博客 ============================== 新手必须懂得什么叫OEP,以及查找的常用方式软件破解什么是oep? original entry point 原始入口点 常见脱壳知识:1.PUSHAD (压栈) 代表程序的入口点  2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP
寻找OEP的几种常用方法
/0
08-15 2818
寻找OEP的几种常用方法
找真正的入口(OEP--广义ESP定律
crkres9527
06-02 1129
1.前言      在论坛上看到很多朋友,不知道什么是ESP定律,ESP的适用范围是什么,ESP定律的原理是什么,如何使用ESP定律?看到了我在 http://poptown.gamewan.com/dispbbs.asp?boardID=5&ID=54&page=1 调查结果发现,大家对ESP定律很感兴趣,当然因为实在是太好用了,现在我就来告诉大家什么是ESP定律,它的原理是什么
常见编程语言OEP入口整理
黑夜黎明
04-18 9078
1·链接器版本6.0 2·链接器版本5.0 3·链接器版本9.0 4·链接器4.2(此处VB5是否仍是4.2待确定) 5·链接器版本2.25 6·链接器版本12-11.0 13-12.0 15-14.0
免杀破解利器-OEP查找工具-OepFinder汉化版
05-24
免杀破解利器-OEP查找工具-OepFinder汉化版免杀破解利器-OEP查找工具-OepFinder汉化版
程序OEP入口特征
12-27
常用程序OEP入口特征
OEP大全,快速查看不同编译语言编写的程序的OEP特征工具
01-16
快速查看不同编译语言编写的程序的OEP特征工具,就像字典一样,需要哪个查哪个。点击编译语言按钮,就会出来相应的OEP特征
脱壳简单总结
weixin_45880501的博客
07-06 3556
title: 脱壳 date: 2021-07-05 14:37:06 tags: RE 脱壳 1.概述: 1.壳: 一:加壳的目的:为了隐藏程序真正的OEP(入口点),防止被破解。 二:加壳软件是一种在编译好可执行文件之后,为了一些特定的需求,而做的一些事情,常见需求有: ​ 有一些版权信息需要保护起来,不想让别人随便改动 ​ 为了让程序小一点,从而方便使用(把可执行文件进行压缩使用) ​ 给木马等软件加壳以避免杀毒软件 三:壳的加载过程: ​ 一般壳的装载过程: ​ (1)获取壳所需要使用的.
脱壳笔记-寻找OEP方法总结
走在成长的路上
01-03 7695
详解手动跟踪法、ESP定律方式、内存二次断点法的原理与使用
各种语言OEP汇总
ccx_john的专栏
01-07 2532
Borland C++ 0040163C B> /EB 10             jmp short Borland_.0040164E 0040163E     |66:623A           bound di,dword ptr ds:[edx] 00401641     |43                 inc ebx 00401642     |2B2B      
探索 OEP 完整分析法:原理、代码示例与实践应用
m0_57836225的博客
02-13 818
寻找 OEP 是程序分析领域中一项基础而重要的技能。通过静态分析方法(如解析 PE 文件结构、使用反汇编工具)和动态分析方法(如调试器调试、系统监控工具分析)相结合,可以准确地找到程序的入口点。在实际应用中,无论是软件逆向工程、恶意软件分析还是程序性能优化等方面,OEP 完整分析法都发挥着关键作用。希望本文介绍的内容能够帮助大家更好地理解和应用 OEP 分析法,在程序分析的道路上迈出坚实的一步。
浅学软件逆向笔记(1)
m0_62063669的博客
08-07 1574
软件找oep把程序拖进OD,运行,ctrl+j就到了oepcall的介绍call就是程序调用,当程序执行到call,会做一系列的对比,对比完就做提示。
脱壳操作
吖吖狼 的专栏
03-26 2533
常规操作: 1、寻找OEP:OD载入,找到OEP,停在OEP处(一般在push ebp代码处)。 2、生成转存文件:打开LordPE,选中程序的进程,右键“修正镜像大小”,然后右键“完整转存”,输入文件名,保存。此步也可用OD自带的插件进行,在代码区右键“用OllyDump脱壳调试进程”,此外如果勾选了“重建输入表”,后面就不需要再用ImportREC修正输入表了,如果不勾选,则需要进入第3步
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

晶通物控

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值