注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

熊猫正正的博客

熊猫正正的天空

 
 
 

日志

 
 

OD脚本学习之ASPack 1.08.03 -> Alexey Solodovnikov  

2011-04-06 20:07:21|  分类: OD脚本笔记 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

OD脚本学习笔记-AsPack

//1.单步F8
//2.记录ESP的地址
//3.在ESP的地址处,下硬件访问断点
//4.接着运行
//5.删除硬件断点
//6.单步走3次
//7.就来到了OEP了

/////////////////////////////////////////////////
//ASPack 1.08.03 -> Alexey Solodovnikov脱壳脚本
//by jack(熊猫正正) QQ:543828315
//2011.04.06
/////////////////////////////////////////////////
var addr //定义一个变量addr
sto  //单步
mov addr,esp    //把此处的ESP的地址给变量addr
bphws addr ,"r" //下硬件读取断点,也就是硬件访问断点
run  //运行,也就是F9
bphwc  //取消硬件断点
sto  //单步,也就是F8,第一次
sto  //单步,也就是F8,第二次
sto  //单步,也就是F8,第三次
cmt eip,"这里就是OEP!" //在EIP处,也就是现在OD停留了位置加注释
MSG "感谢使用此脚本,现在可以脱壳了"  //加个对话框,给出一些提示信息
ret  //结束脚本


//1.查找16进制数"61",写就是"popad"
//2.返回一个查找到的地址
//3.在查找到的地方下断点
//4.运行
//5.取消断点
//6.单步3次
//7.来到OEP了

/////////////////////////////////////////////////
//ASPack 1.08.03 -> Alexey Solodovnikov脱壳脚本
//by jack(熊猫正正) QQ:543828315
//2011.04.06
/////////////////////////////////////////////////

findop eip,#61# //查找"61",也就是"popad"
bp  $RESULT  //返回查找到的地址,下断点
run   //运行
bc   //取消断点
sto   //单步,也就是F8,第一次
sto   //单步,也就是F8,第二次
sto   //单步,也就是F8,第三次
cmt eip,"这里就是OEP!" //在EIP处,也就是现在的OD停留的位置加注释
msg "感谢使用此脚本,现在可以脱壳了" //加个对话框,给出一些提示信息
ret   //脚本

  评论这张
 
阅读(111)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017