xiaolei1314555 发表于 2024-7-19 09:12

ASPack2.12壳的dll入口和正常的不一样怎么办

本帖最后由 xiaolei1314555 于 2024-7-19 09:23 编辑

全新小白,在学习esp定律的时候载入dll以后,我的和图片的不一样网上找了好几个也都不一样。请问这个情况怎么找入口。
1.这是我用peid查的壳

2.这是我的载入dll的入口特征

3.这是论坛大佬Hmily asp2.12dll教程的入口特征

4.这是其它坛友的一个入口特征


而我的载入就是都是jmp,求大神指点。

下面这个是dll链接,如果大神详细指点下就更好了,谢谢。
我用夸克网盘分享了「key.rar」,点击链接即可保存。打开「夸克APP」,无需下载在线播放视频,畅享原画5倍速,支持电视投屏。
链接:https://pan.quark.cn/s/7d985403fe3c

xiaolei1314555 发表于 2024-7-19 11:30

weixiansheng 发表于 2024-7-19 10:17
谢谢大神的分享

哈,我是在求大神帮我看看怎么才能esp定律

爱飞的猫 发表于 2024-7-20 20:07

[ 本帖最后由 爱飞的猫 于 2024-7-20 20:13 编辑 ]\n\n你 OD 找错地方了:

![](https://imgsrc.baidu.com/forum/pic/item/8cb1cb1349540923ea8c725ed458d109b3de492c.png)

后缀应当为 `9001`:

```asm
01279000 | 90                     | nop                                          |
01279001 | 60                     | pushad                                       | <-- 这里是壳的入口
01279002 | E8 03000000            | call key.127900A                           |
```

注意地址前缀 `0127` 是 DLL 加载时随机生成的。

xiaolei1314555 发表于 2024-7-22 08:09

爱飞的猫 发表于 2024-7-20 20:07
[ 本帖最后由 爱飞的猫 于 2024-7-20 20:13 编辑 ]\n\n你 OD 找错地方了:

![](https://imgsrc.baid ...

还是版主支持小白啊,多谢。但是请问下怎么找到后缀9001的呢,进去之后用F7一步一步的跟吗? 我搜索这个地址没有。

爱飞的猫 发表于 2024-7-23 02:19

xiaolei1314555 发表于 2024-7-22 08:09
还是版主支持小白啊,多谢。但是请问下怎么找到后缀9001的呢,进去之后用F7一步一步的跟吗? 我搜索这 ...

进去后自动停在 DLL 入口。

看你截图的 EIP 指向 Loaddll.Firstbp,应该是在 EXE 的入口(OD 调试会写出 EXE 用于加载 DLL 然后执行)。可以尝试直接执行让 OD 自动执行到 DLL 入口断下。

我不清楚你有没有改动 OD 的设定,默认情况下应当能自动跳转到 DLL 的入口。
页: [1]
查看完整版本: ASPack2.12壳的dll入口和正常的不一样怎么办