好友
阅读权限10
听众
最后登录1970-1-1
|
看小生大神的视频,估计是我电脑系统或者OD设置的不同,无法按照小生大神的断点,断下来,后来试着按照单步跟踪的办法(小生大神在视频里说 图文的办法是自己单步跟踪到的,所有也想单步跟踪看看,事实证明自己新手的不是一点半点,呵呵呵)也无法实现,后来用XIMO视频中说过的内存镜像法(和小生大神断的点有点不同),1、资源段下断,F9到这里(红色表示当前运行到这里)
0040976B 8032 BC xor byte ptr ds:[edx],0xBC
0040976E EB 03 jmp short UnPackMe.00409773
00409770 88F4 mov ah,dh
00409772 2251 68 and dl,byte ptr ds:[ecx+0x68]
2、CODE段下断,F9到这里
0040990F 3E:8B45 0C mov eax,dword ptr ds:[ebp+0xC]
00409913 05 00004000 add eax,UnPackMe.00400000
00409918 50 push eax
00409919 FFD7 call edi ; kernel32.LoadLibraryA
3、401000下断 F9运行到这里
7C931911 66:8B50 0C mov dx,word ptr ds:[eax+0xC]
7C931915 66:8955 B4 mov word ptr ss:[ebp-0x4C],dx
4、F8单步到这里
0040710B 83FE 32 cmp esi,0x32
0040710E ^ 75 F1 jnz short UnPackMe.00407101
00407110 - FFE0 jmp eax ; UnPackMe.00401700
00407112 A3 64324000 mov dword ptr ds:[0x403264],eax ; UnPackMe.00401700
5、红色段跳向OEP
|
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2015-9-23 09:12
