ASPack2.12壳的dll入口和正常的不一样怎么办

xiaolei1314555 · 发表于 2024-7-19 09:12

本帖最后由 xiaolei1314555 于 2024-7-19 09:23 编辑

全新小白，在学习esp定律的时候载入dll以后，我的和图片的不一样网上找了好几个也都不一样。请问这个情况怎么找入口。
1.这是我用peid查的壳

这是查的壳

2.这是我的载入dll的入口特征

这是我载入od的样子

3.这是论坛大佬Hmily asp2.12dll教程的入口特征

这是Hmily大佬教程入口的样子

4.这是其它坛友的一个入口特征

这是其它教程的入口样子

而我的载入就是都是jmp，求大神指点。

下面这个是dll链接，如果大神详细指点下就更好了，谢谢。
我用夸克网盘分享了「key.rar」，点击链接即可保存。打开「夸克APP」，无需下载在线播放视频，畅享原画5倍速，支持电视投屏。
链接：https://pan.quark.cn/s/7d985403fe3c

xiaolei1314555 · 发表于 2024-7-19 11:30

weixiansheng 发表于 2024-7-19 10:17
谢谢大神的分享

哈，我是在求大神帮我看看怎么才能esp定律

爱飞的猫 · 发表于 2024-7-20 20:07

[ 本帖最后由爱飞的猫于 2024-7-20 20:13 编辑 ]\n\n

你 OD 找错地方了：

后缀应当为 9001：

01279000 | 90                       | nop                                          |
01279001 | 60                       | pushad                                       | <-- 这里是壳的入口
01279002 | E8 03000000              | call key.127900A                             |

注意地址前缀 0127 是 DLL 加载时随机生成的。

xiaolei1314555 · 发表于 2024-7-22 08:09

爱飞的猫发表于 2024-7-20 20:07
[ 本帖最后由爱飞的猫于 2024-7-20 20:13 编辑 ]\n\n[md]你 OD 找错地方了：

![](https://imgsrc.baid ...

还是版主支持小白啊，多谢。但是请问下怎么找到后缀9001的呢，进去之后用F7一步一步的跟吗？我搜索这个地址没有。

爱飞的猫 · 发表于 2024-7-23 02:19

xiaolei1314555 发表于 2024-7-22 08:09
还是版主支持小白啊，多谢。但是请问下怎么找到后缀9001的呢，进去之后用F7一步一步的跟吗？我搜索这 ...

进去后自动停在 DLL 入口。

看你截图的 EIP 指向 Loaddll.Firstbp，应该是在 EXE 的入口（OD 调试会写出 EXE 用于加载 DLL 然后执行）。可以尝试直接执行让 OD 自动执行到 DLL 入口断下。

我不清楚你有没有改动 OD 的设定，默认情况下应当能自动跳转到 DLL 的入口。

帐号		自动登录	找回密码
密码			注册[Register]

[求助] ASPack2.12壳的dll入口和正常的不一样怎么办

点评

个人中心