【新手求助】在对dump3.exe进行操作时,OD遇到问题
我跟着教程学习的时候,操作OD时遇到了一些问题。请求各位大神帮助操作系统是win8,没dump的作业可以打开,dump过的作业没法打开,但是用LordPE关闭ASLR后,就可以打开了
我是这样操作的。目前已经完成到了dump3.exe
https://i.loli.net/2018/02/25/5a92455ea8efa.png
先把程序拖到OD里,然后用Ctrl+G,把5个断点都下了
https://i.loli.net/2018/02/25/5a92458f67b59.png
之后按一次F9运行,断到ShellExecuteW,由于这个广告已经被C32Asm搞定了,所以再次F9运行程序
断到WinExec。在堆栈窗口里,用Enter键跳转到代码行,把这个call和它push进来的参数一起用nop填充掉。
然后。"复制到可执行文件"→"选择"
https://i.loli.net/2018/02/25/5a92464ac6461.png
到这里我跟着视频做,也不打算直接把这次修改"保存文件"出去
接着继续F9,断到了CreateProcessA。然后同样Enter跳转进去,对call和push进行nop填充
https://i.loli.net/2018/02/25/5a9246b9c7381.png
之后问题来了,这次多了一个"选择所有"
https://i.loli.net/2018/02/25/5a9246fe08a96.png
我点了"选择"。然后弹出了这个
https://i.loli.net/2018/02/25/5a92472bcb3c1.png
我又点了"是"。之后点"保存文件",弹出了这个窗口
https://i.loli.net/2018/02/25/5a92477057903.png
这个保存和之前不一样,以前保存出去都是xxx.exe文件,但这次是xxx.dll。
而且默认的保存路径被定在了系统文件夹里,我就赶紧取消了操作,不敢乱保存。
我想问一下各位大神:
①F9运行程序是不是直接启动程序,然后如果程序碰到了断点,被暂停后,再次按F9可以让程序继续运行?
②是不是我每次nop填充一次后,都要立即保存成.exe文件,然后把新的exe文件载入OD
③"复制到可执行文件"的"选择"和"全部选择"有什么区别
④文件窗口中,默认选中的这些,如果不小心点掉,有没有关系。到时候"保存文件"出去会不会有影响。如下图
https://i.loli.net/2018/02/25/5a92483479247.png 我测试了一下。
如果是两个操作,每完成一个操作,就保存一次.exe文件,就不会出现这种情况。 ①可以。
②不是,可以一起保存。
③保存一个修改地方,和保存所有修改的区别。
④没关系,你可以重新打开。
最后说下你修改那个重定位问题,修改的地方不对了,不要修改系统dll,那是无法保存的,你应该修改调用系统dll的那个exe。
页:
[1]