小生我怕怕第4课分享
看小生大神的视频,估计是我电脑系统或者OD设置的不同,无法按照小生大神的断点,断下来,后来试着按照单步跟踪的办法(小生大神在视频里说 图文的办法是自己单步跟踪到的,所有也想单步跟踪看看,事实证明自己新手的不是一点半点,呵呵呵)也无法实现,后来用XIMO视频中说过的内存镜像法(和小生大神断的点有点不同),1、资源段下断,F9到这里(红色表示当前运行到这里)0040976B 8032 BC xor byte ptr ds:,0xBC
0040976E EB 03 jmp short UnPackMe.00409773
00409770 88F4 mov ah,dh
00409772 2251 68 and dl,byte ptr ds:
2、CODE段下断,F9到这里
0040990F 3E:8B45 0C mov eax,dword ptr ds:
00409913 05 00004000 add eax,UnPackMe.00400000
00409918 50 push eax
00409919 FFD7 call edi ; kernel32.LoadLibraryA
3、401000下断F9运行到这里
7C931911 66:8B50 0C mov dx,word ptr ds:
7C931915 66:8955 B4 mov word ptr ss:,dx
4、F8单步到这里
0040710B 83FE 32 cmp esi,0x32
0040710E^ 75 F1 jnz short UnPackMe.00407101
00407110- FFE0 jmp eax ; UnPackMe.00401700
00407112 A3 64324000 mov dword ptr ds:,eax ; UnPackMe.00401700
5、红色段跳向OEP
页:
[1]