suuannnn 2021-11-11 17:14 采纳率: 28.6%
浏览 22
已结题

如何使用ollydump把maze病毒脱壳。

我在调试病毒的时候,想先脱壳,他会将解密后的文件复制到一段内存中,而后jmp eax
我想的是dump的时候填写起始位置是开始复制的位置,入口点是eax的值,但是这样dump下来的运行不了。

  • 写回答

0条回答 默认 最新

    报告相同问题?

    • 使用 OllyDump 完成一次脱壳实战解析
      2025-02-13 19:57
      阿贾克斯的黎明的博客 加壳是通过特定算法将原始程序代码和数据进行压缩、加密或变形处理,并添加额外的代码来实现解压缩、...使用 OllyDump 进行脱壳是一个复杂但有趣的过程,需要综合运用调试技巧、汇编语言知识和对程序运行机制的理解。
    • 南邮 2024 软件安全 实验四 自动脱壳+手动脱壳
      2024-11-12 22:50
      ARbing_an的博客 但其实如果你使用吾爱破解的魔改过的peid,它就会显示具体的壳名:然后你点击右下角的那个箭头,里面会有很多的插件用来自动脱壳:你也可以使用这个通用脱壳器,但是脱壳后的程序无法运行,这个放到后面讲。
    • UPX单步脱壳
      2022-12-06 13:02
      k_cldh的博客 使用OD脱UPX壳
    • [系统安全]脱壳技术
      2024-11-15 20:06
      黑客呀的博客 脱壳后的宿主程序.A1Pass的区段还在,但是已经可以使用PEID识别出编译器版本。 1.2、利用堆栈平衡 ESP寄存器在绝大部分的情况下保存的是当前栈顶位置的地址,因此如果加壳程序严格遵守堆栈平衡原则的话,那么在其...
    • 压缩壳脱壳
      2022-06-27 11:21
      Sin hx的博客 当左下角停止读写的时候,就到了程序的OEP: 在OEP处使用OllyDump脱壳,此时注意不要选择“重建导入表”,FSG壳会对IAT进行破坏,IAT需要进一步的修复。 将脱壳后保存的程序命名为dump_fsg.exe。 (3)修复IAT 修复...
    • 脱壳之aspack压缩壳
      2021-12-29 09:01
      ° LuK的博客   一般再执行Shell部分代码时,会先保存上下文环境,使用push指令(pushad/pushfd),执行Shell部分代码之后,再使用pop指令(popad/popfd)恢复环境,使堆栈平衡,故使用ESP定律进行简单脱壳。 1.使用OD加载程序...
    • Eight methods of shelling(脱壳八大法)
      2020-04-03 12:19
      nanzhicraft的博客 6.F8右键 用OllyDump脱壳 单步跟踪法 1.OD载入 2.F8到有跳空运行记录下来,重新运行F8到跳空的地方F7 3.F8到有向上执行的,选择向上执行的代码的下一行F4 4.F8到OEP 5.用OllyDump脱壳 两次断点法(内存镜像法) 1.OD...
    • 软件逆向工程核心技术:脱壳原理与实战分析
      2025-05-08 14:55
      攻城狮7号的博客 在软件保护领域,"壳"是一种常见的程序包装技术,其核心功能是...这项技术不仅是软件安全审计的基础,也是恶意代码分析、软件版本回溯的关键手段。脱壳技术不仅是逆向工程的基础技能,更是理解软件保护机制的关键窗口。
    • OllyDump插件
      2012-07-24 19:10
      本文将深入探讨OllyDump的原理、使用方法以及其在实际应用中的价值。 首先,OllyDbg是一款著名的Windows平台下的16位和32位汇编级调试器,因其强大的调试功能和友好的用户界面而受到逆向工程师的喜爱。而OllyDump...
    • 2022CTF培训(一)脱壳技术&Hook入门
      2022-11-16 19:58
      _sky123_的博客 绝大多数加壳程序会在被加密的程序中加上一个或多个段(Section),...在 x32dbg 中 Ctrl+B 搜索E9找到长跳转指令在该位置下断点后执行即可进入程序真正的入口点,此时程序已完成脱壳使用 Scylla 将程序 dump 下来。
    • 通过ESP定律手动脱壳
      2025-06-29 21:09
      f0rev3r的博客 本人在学习时用到的参考资料:xdbg使用ESP定律脱压缩壳详解xdbg脱壳参考这篇文章主要是帮助校内新生熟悉手动脱壳流程写的,各位大师傅可以自行略过。
    • upx脱壳环境和工具包
      2018-01-23 11:32
      从upx开始学习脱壳,upx的加壳后和源程序,OD中的Ollydump以及可以用来DUMP程序的PETools,还有重建IAT的Import REC工具。给自己提供个打包的upx,也给大家提供个学习的环境配置 也可以直接从OllyDbg从零开始学习...
    • OLLVM 脱壳:深入探索与实践
      2024-12-23 23:54
      阿贾克斯的黎明的博客 OLLVM 是基于 LLVM 编译器基础设施的一个开源混淆工具,它通过对程序的控制流、函数调用和数据结构等进行混淆,增加...这些混淆技术使得应用在被反编译后,其代码逻辑变得难以理解,同时也给脱壳操作带来了更高的难度。
    • OD脱壳-无法读取被调试进程的内存
      2025-05-31 22:35
      Hack_zzz的博客 注意看两个大小不一致,所以出现读取失败,修改Ollydump 的大小为00041000即可成功脱壳dump 下来。如图所示,OD在调试dump内存时,出现无法读取内存的情况,一般是脱壳dump的内存超过了分配的内存。OD脱壳-无法读取...
    • 脱壳学习之 -- 步骤总结
      2019-03-02 12:38
      最亮的心的博客 1. 使用OD调试 常用的方式有以下 单步跟踪法: 这个方法是万能的, 思路就是, 碰到向上跳转, F4执行到下一步;如果函数中断, 则步入函数,继续单步, 一直到找到入口 ESP定律法: 找到开头关键的push后的一句...
    • Re-脱壳技术 脱壳实战(3): 脱壳及修复IAT
      2019-12-27 14:37
      Forgo7ten的博客 脱壳最好在windows XP环境中 使用工具: OD lordPE ImportREC 第一题:IT修复 1.查壳 UPX的壳,无难度 2.寻找OEP 用OD载入 先F8单步运行一步 发现ESP寄存器被改变,可以使用ESP定律 右键数据窗口跟随,|| ...
    • 一步到达OEP脱壳
      2020-09-12 15:47
      小龙在山东的博客 OllyDbg载入Notepad.exe 直接按Ctrl+F搜索popad 我们需要找的popad需要满足,是在程序最后返回时,壳程序希望恢复现场环境的地方 ...在retn后返回到OEP,使用Ollydump脱壳即可 但是你要注意,这个方法
    • CTF REVERSE练习之脱壳分析
      2023-08-09 20:32
      网络安全小凯的博客 对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的...
    • (2)lordPE脱壳
      2023-05-25 22:19
      rbacPermission的博客 1.修改OD选项,调试设置"事件"为系统断点,直接打开"查看"->"内存",设置00400000下F2断点,单步F8找到0040****开头的OEP例如:00401528,使用lordPE进行完整脱壳生成unPack.exe。2.用ImportREConstructor输入表重建...
    • OD 手动脱壳 - UPX
      2021-08-03 14:02
      吾爱测试的博客 OD 手动脱壳 - UPX 1. 准备工作 1.OD 吾爱破解版 链接:https://pan.baidu.com/s/1ErDTW3D1n_XTAfTh8uMEbQ 提取码:tr45 2. 待脱壳程序 test2.exe 链接:...
    • 没有解决我的问题, 去提问

    问题事件

    • 系统已结题 11月19日
    • 创建了问题 11月11日