ESP定律

在我们开始讨论ESP定律之前，我先给你讲解一下一些简单的汇编知识。
  1.call
  这个命令是访问子程序的一个汇编基本指令。也许你说，这个我早就知道了！别急请继续看完。
  call真正的意义是什么呢？我们可以这样来理解：1.向堆栈中压入下一行程序的地址；2.JMP到call的子程序地址处。例如：

00401029    .  E8 DA240A00    call 004A3508
0040102E    .  5A             pop edx
在执行了00401029以后，程序会将0040102E压入堆栈，然后JMP到004A3508地址处！
  
  2.RET
  与call对应的就是RET了。对于RET我们可以这样来理解：1.将当前的ESP中指向的地址出栈；2.JMP到这个地址。
 
  这个就完成了一次调用子程序的过程。在这里关键的地方是：如果我们要返回父程序，则当我们在堆栈中进行堆栈的操作的时候，一定要保证在RET这条指令之前，ESP指向的是我们压入栈中的地址。这也就是著名的“堆栈平衡”原理！

3.狭义ESP定律
 
  ESP定律的原理就是“堆栈平衡”原理。
 
  让我们来到程序的入口处看看吧！
 
  1.这个是加了UPX壳的入口时各个寄存器的值！
EAX 00000000
ECX 0012FFB0
EDX 7FFE0304
EBX 7FFDF000
ESP 0012FFC4
EBP 0012FFF0
ESI 77F51778 ntdll.77F51778
EDI 77F517E6 ntdll.77F517E6
EIP 0040EC90 note-upx.<ModuleEntryPoint>
C 0  ES 0023 32bit 0(FFFFFFFF)
P 1  CS 001B 32bit 0(FFFFFFFF)
A 0  SS 0023 32bit 0(FFFFFFFF)
Z 0  DS 0023 32bit 0(FFFFFFFF)
S 1  FS 0038 32bit 7FFDE000(FFF)
T 0  GS 0000 NULL
D 0
O 0  LastErr ERROR_MOD_NOT_FOUND (0000007E)

  2.这个是UPX壳JMP到OEP后的寄存器的值！
EAX 00000000
ECX 0012FFB0
EDX 7FFE0304
EBX 7FFDF000
ESP 0012FFC4
EBP 0012FFF0
ESI 77F51778 ntdll.77F51778
EDI 77F517E6 ntdll.77F517E6
EIP 004010CC note-upx.004010CC
C 0  ES 0023 32bit 0(FFFFFFFF)
P 1  CS 001B 32bit 0(FFFFFFFF)
A 0  SS 0023 32bit 0(FFFFFFFF)
Z 1  DS 0023 32bit 0(FFFFFFFF)
S 0  FS 0038 32bit 7FFDE000(FFF)
T 0  GS 0000 NULL
D 0
O 0  LastErr ERROR_MOD_NOT_FOUND (0000007E)

呵呵~是不是除了EIP不同以外，其他都一模一样啊！

为什么会这样呢？
我们来看看UPX的壳的第一行：

0040EC90 n>  60               pushad      //****注意这里*****
0040EC91     BE 15B04000      mov esi,note-upx.0040B015
 
PUSHAD就是把所有寄存器压栈！我们在到壳的最后看看：

0040EE0F     61               popad      //****注意这里*****
0040EE10   - E9 B722FFFF      jmp note-upx.004010CC   //JMP到OEP

POP就是将所有寄存器出栈！

而当我们PUSHAD的时候，ESP将寄存器压入了0012FFC0--0012FFA4的堆栈中！如下：

0012FFA4   77F517E6  返回到 ntdll.77F517E6 来自 ntdll.77F78C4E           //EDI
0012FFA8   77F51778  返回到 ntdll.77F51778 来自 ntdll.77F517B5          //ESI
0012FFAC   0012FFF0                                                    //EBP
0012FFB0   0012FFC4                                                   //ESP
0012FFB4   7FFDF000                                                  //EBX
0012FFB8   7FFE0304                                                 //EDX
0012FFBC   0012FFB0                                                //ECX
0012FFC0   00000000                                               //EAX

所以这个时候，在教程上面就告诉我们对ESP的0012FFA4下硬件访问断点。也就是说当程序要访问这些堆栈，从而恢复原来寄存器的值，准备跳向苦苦寻觅的OEP的时候，OD帮助我们中断下来。

于是我们停在0040EE10这一行！
 
总结：我们可以把壳假设为一个子程序，当壳把代码解压前和解压后，他必须要做的是遵循堆栈平衡的原理，让ESP执行到OEP的时候，使ESP=0012FFC4。

4.广义ESP定律

  很多人看完了教程就会问：ESP定律是不是就是0012FFA4，ESP定律的适用范围是不是只能是压缩壳！
 
  我的回答是：NO！

  看完了上面你就知道你如果用0012FFA8也是可以的，ESP定律不仅用于压缩壳他也可以用于加密壳！！！

  首先，告诉你一条经验也是事实---当PE文件运行开始的时候，也就是进入壳的第一行代码的时候。寄存器的值总是上面的那些值，不信你自己去试试！而当到达OEP后，绝大多的程序都第一句都是压栈！（除了BC编写的程序，BC一般是在下面几句压栈）

  现在，根据上面的ESP原理，我们知道多数壳在运行到OEP的时候ESP=0012FFC4。这就是说程序的第一句是对0012FFC0进行写入操作！
 
  最后我们得到了广义的ESP定律，对只要在0012FFC0下，硬件写入断点，我们就能停在OEP的第二句处！！

下面我们来举个例子,就脱壳进阶第一篇吧！

  载入OD后，来到这里：

0040D042 N>  B8 00D04000      mov eax,Notepad.0040D000 //停在这里
0040D047     68 4C584000      push Notepad.0040584C
0040D04C     64:FF35 00000000 push dword ptr fs:[0]    //第一次硬件中断，F9
0040D053     64:8925 00000000 mov dword ptr fs:[0],esp
0040D05A     66:9C            pushfw
0040D05C     60               pushad
0040D05D     50               push eax

直接对0012FFC0下硬件写入断点，F9运行。（注意硬件中断）

在0040D04C第一次硬件中断，F9继续！

0040D135     A4               movs byte ptr es:[edi],byte ptr ds:[esi] //访问异常，不管他 shift+F9继续
0040D136     33C9             xor ecx,ecx
0040D138     83FB 00          cmp ebx,0
0040D13B   ^ 7E A4            jle short Notepad.0040D0E1

第二次硬件中断。

004058B5       64             db 64                                 //断在这里
004058B6       89             db 89
004058B7       1D             db 1D
004058B8       00             db 00
004058B9       00             db 00

这里也不是，F9继续！

004010CC   /.  55             push ebp
004010CD   |.  8BEC           mov ebp,esp  //断在这里，哈哈，到了！（如果发现有花指令，用ctrl+A分析一下就能显示出来）
004010CF   |.  83EC 44        sub esp,44
004010D2   |.  56             push esi

   快吧！还不过瘾，在来一个例子。

   脱壳进阶第二篇

   如果按上面的方法断不下来，程序直接运行了！没什么，我们在用另一种方法！
 
   载入后停在这里，用插件把OD隐藏！

0040DBD6 N>^/E9 25E4FFFF      jmp Note_tEl.0040C000                  //停在这里
0040DBDB     0000             add byte ptr ds:[eax],al
0040DBDD     0038             add byte ptr ds:[eax],bh
0040DBDF     A4               movs byte ptr es:[edi],byte ptr ds:[esi]
0040DBE0     54               push esp

   F9运行，然后用SHIFT+F9跳过异常来到这里：

0040D817   ^/73 DC            jnb short Note_tEl.0040D7F5       //到这里
0040D819     CD20 64678F06    vxdcall 68F6764
0040D81F     0000             add byte ptr ds:[eax],al
0040D821     58               pop eax

   在这里对0012FFC0下硬件写入断点！（命令行里键入HW 12FFC0）SHIFT+F9跳过异常，就来到OEP的第二行处：（用CTRL+A分析一下）

004010CC   /.  55             push ebp
004010CD   |.  8BEC           mov ebp,esp                       //断在这里
004010CF   |.  83EC 44        sub esp,44
004010D2   |.  56             push esi
004010D3   |.  FF15 E4634000  call dword ptr ds:[4063E4]
004010D9   |.  8BF0           mov esi,eax
004010DB   |.  8A00           mov al,byte ptr ds:[eax]
004010DD   |.  3C 22          cmp al,22

   就这样我们轻松搞定了两个加密壳的找OEP问题！

5.总结

  现在我们可以轻松的回答一些问题了。
 
  1.ESP定律的原理是什么？

  堆栈平衡原理。
 
  2.ESP定律的适用范围是什么？

  几乎全部的压缩壳，部分加密壳。只要是在JMP到OEP后，ESP=0012FFC4的壳，理论上我们都可以使用。但是在何时下断点避开校验，何时下断OD才能断下来，这还需要多多总结和多多积累。欢迎你将你的经验和我们分享。

  3.是不是只能下断12FFA4的访问断点？

  当然不是，那只是ESP定律的一个体现，我们运用的是ESP定律的原理，而不应该是他的具体数值，不能说12FFA4，或者12FFC0就是ESP定律，他们只是ESP定律的一个应用罢了！

  4.对于STOLEN CODE我们怎么办？

  哈哈，这正是寻找STOLEN CODE最好的办法！当我们断下时，正好断在了壳处理STOLEN CODE的地方，在F8一会就到OEP了！

6.后话
 
 
  以上的方法原理都是我自己总结，自己的经验，如果有什么不对的地方，有什么没解释清楚的地方。还请海涵！但是如果觉得我很厉害，那就大可不必，因为ESP定律也是别人教我的，不是我第一个提出来的！我只是个比你们早飞一点的菜鸟罢了^-^

  看了上面的文字希望能对你在寻找OEP的时候有帮助，但是别忘了一句话：菜鸟认为找OEP很难，高手认为修复才是最难！ 好了，下一篇应该写IAT的修复原理了！让我们共同努力吧！