ESP定律是比较常用的脱壳方式,作为新手用的也比较多简单写一下我的看法。
esp定律的使用过程大致为:
1.开始就点F8,注意观察OD右上角的寄存器中ESP有没突现(变成红色),并且只有sp和ip为红色。
2.Command窗口中输入dd 0012FFA4 后回车,跟随esp寄存器后的地址。
3.选中下断的地址,断点--->硬件访--->WORD断点
4.按一下F9运行程序,直接来到了跳转处,按下F8,到达程序OEP(程序入口)
花了很长时间理解了一下原理,简单谈一下,可能有错。
我们把壳理解为一个对程序进行压缩和解压的子程序,相当于调用call指令:call xxxx,call指令遵循堆栈平衡,所以esp作为堆栈指针,程序前后入栈和出栈必须相同。
可刚开始的程序:
0040D000 60 pushad //注意这里ESP=0012FFC4(入栈)
0040D001 E8 00000000 call ASPACK.0040D006 //ESP=0012FFA4
PUSHAD就是把所有寄存器压栈!我们在到壳的最后看看:
代码:
0040D558 61 popad //ESP=0012FFA4(出栈)
0040D559 75 08 jnz short ASPACK.0040D563 //注意这里ESP=0012FFC4
我们在0012ffa4处设置下物理断点,壳在出栈时调用ESP=0012FFC4是截断。按下f8到达程序入口。
适用范围:
几乎全部的压缩壳,部分加密壳。只要是在JMP到OEP后,ESP=0012FFC4的壳,理论上我们都可以使用