关于ximo师傅第十六课的一点经验
潜水一年多了,也没为论坛做过什么贡献,今天看ximo师傅的早期脱壳第十六课遇到一点小问题。跟着视频设置完异常之后 F9一次直接跑飞。百思不得其解。由于也是刚接触脱壳。所以想了半个多小时没找到原因。最后想到了用二次内存镜像法。确切的说应该是三次内存。废话不多说了 直接载入OD分析。这是载入OD时的情况,一堆乱七八槽的代码,不管他 直接点M 。
在第一个.rsrc上下访问断点,(这里补充一下为什么要在第一个下,程序加载的时候每个模块都有自己一个独立的4GB虚拟空间
第一个模块也就是exe自己,其他的都是exe需要的一些dll)
F9运行之后会断在这里,也不管他,继续F9
我们可以看到在程序之前的那个提示壳窗口出来了,接着再点击M,然后在.text上下断,同时删除.rsrc断点。然后回头去点击刚弹出的那个小窗口。
可以看到程序直接就跳到OEP了。
接着脱壳的事就不多说了,无非就是LordPe修正大小,再修复一下iat就可以了。
纯属小白的分享经验贴。
大牛飘过吧!!
第一次发帖 如果格式有错误的话 还请版主帮忙编辑,或者@我一下!!
喵喵爱吃鱼 发表于 2016-1-8 09:41
刚才在64位系统上试了试,可以,记得把所以异常全部勾上,而且Strong OD上面也记得勾上忽略异常什么的,其 ...
我觉得好像是调试器的问题,毕竟才接触脱壳,工具玩的还不是那么6 刚才在64位系统上试了试,可以,记得把所以异常全部勾上,而且Strong OD上面也记得勾上忽略异常什么的,其他的按楼主@dzsq1314大哥来,这个法子很好 学习了啊。感谢。 这才是经验分享,谢谢 主要是学习过程, 现在52人少的多了。{:1_906:} 楼主学习的精神值得肯定 探究学习下多谢分享啦 直接在text断访问 还没楼主看得快,除了设置异常选项以外,还需要在strongOD里面取消勾选Skip Some Exceptions,这样就不会一次跑飞了
页:
[1]
2