【已解决】第一课第一个脱壳后win7无法运行问题
本帖最后由 苏紫方璇 于 2015-7-10 19:54 编辑首先使用xp虚拟机进行脱壳
使用esp法进行脱壳
这里下断 hr esp,之后程序在这里断下
然后删除硬件断点,在下面jmp处按F4运行到这里,然后按F8单步走到oep
下面使用lordPE进行dump转存,
之后使用ImportREC进行IAT导入表修复
修复完成后XP虚拟机打开没有任何问题
但是在win7中打开却发现停止工作了
下面上上我脱壳后的文件,希望各位大大能告知为什么出现这种情况,如何解决。谢谢
百度盘链接: http://pan.baidu.com/s/1eQ6MRaM 密码: vr5p
ASLR引起的问题
用loadpe把这个点上
讲来讲去看来都绕不过ASLR了,明天讲一讲吧,这个和重定位的关系。
ASLR(Address space layout randomization)是一种针对缓冲区溢出的安全保护技术,通过对堆、栈、共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的。
CFF Explorer查看PE头控制ASLR的位置:
LordPE查看PE头控制ASLR的位置:
论坛有同学发了一个简单的小程序直接禁用ASLR也可以用:
【ASLR关闭工具】OD载入每次入口地址都不一样怎么办?就这么办。
http://www.52pojie.cn/thread-377450-1-1.html
明天视频正好简单说下崩溃怎么分析。
作业讲解视频更新:http://www.52pojie.cn/thread-378612-1-1.html
ImprotREC 的设置选项贴贴 蚯蚓翔龙 发表于 2015-7-10 19:00
ImprotREC 的设置选项贴贴
默认的是这样,我也没有改过
苏紫方璇 发表于 2015-7-10 19:06
默认的是这样,我也没有改过
{:17_1074:}等大牛来,我只能帮顶了 win7有ASLR,逆向资源区有个工具,,用它处理一下作业就行 我知道了,重定位的问题 你是不是XP下操作的复制到了win7
重定位问题
你win7下载一模一样来一遍就可以运行 L4Nce 发表于 2015-7-10 19:25
ASLR引起的问题
用loadpe把这个点上
请问一下,loadpep这个选项在哪里呀! 有第三个的步骤没有 第三个一直拖不成功
页:
[1]
2