脱壳到入口部分push ebp时,鼠标滚轮移动,代码变化
我在使用ximo早期发的脱壳基础 \1、手脱UPX壳 的案例时,调试到入口部分,准备脱壳时:鼠标滚轮一动,004738C这个地址就消失了,变成以下界面,请问这是怎么回事?
烦请指教,非常感谢
shirleyon 发表于 2019-7-9 22:02
谢谢指教。
我运行到这个图的位置,进入OEP,然后鼠标滚动,地址0047738C就不见了。鼠标滚动会影响到内 ...
UPX用ESP定律就能脱,何况你现在如果确定已经进入OEP,直接脱就行,滚动并不会影响内存地址的变化,断点可以在一排英文字母的b里找到你下的断点 动不是正常的么?滚轮往下翻肯定动啊,OEP段首下个断嘛,这样就算没了也能找到啊,何况你单步跟踪地址栏有白条啊,你这第二张图没白条,这还不明白?
hecate 发表于 2019-7-8 10:58
动不是正常的么?滚轮往下翻肯定动啊,OEP段首下个断嘛,这样就算没了也能找到啊,何况你单步跟踪地址栏有 ...
谢谢指教。
我运行到这个图的位置,进入OEP,然后鼠标滚动,地址0047738C就不见了。鼠标滚动会影响到内存地址变化吗?
就算我下了断点也不行。
动了就变说明壳子在保护嘛…用dump工具… 谢谢两位
页:
[1]