脱壳到入口部分push ebp时，鼠标滚轮移动，代码变化

shirleyon · 发表于 2019-7-7 11:53

我在使用 ximo早期发的脱壳基础 \1、手脱UPX壳的案例时，调试到入口部分，准备脱壳时：

调试到入口图片

鼠标滚轮一动，004738C这个地址就消失了，变成以下界面，请问这是怎么回事？

鼠标动

烦请指教，非常感谢

hecate · 发表于 2019-7-12 17:02

shirleyon 发表于 2019-7-9 22:02
谢谢指教。
我运行到这个图的位置，进入OEP，然后鼠标滚动，地址0047738C就不见了。鼠标滚动会影响到内 ...

UPX用ESP定律就能脱，何况你现在如果确定已经进入OEP，直接脱就行，滚动并不会影响内存地址的变化，断点可以在一排英文字母的b里找到你下的断点

hecate · 发表于 2019-7-8 10:58

动不是正常的么？滚轮往下翻肯定动啊，OEP段首下个断嘛，这样就算没了也能找到啊，何况你单步跟踪地址栏有白条啊，你这第二张图没白条，这还不明白？

shirleyon · 发表于 2019-7-9 22:02

hecate 发表于 2019-7-8 10:58
动不是正常的么？滚轮往下翻肯定动啊，OEP段首下个断嘛，这样就算没了也能找到啊，何况你单步跟踪地址栏有 ...

谢谢指教。
我运行到这个图的位置，进入OEP，然后鼠标滚动，地址0047738C就不见了。鼠标滚动会影响到内存地址变化吗？
就算我下了断点也不行。

无闻无问 · 发表于 2019-7-10 16:58

动了就变说明壳子在保护嘛…用dump工具…

shirleyon · 发表于 2019-7-12 22:35

谢谢两位

帐号		自动登录	找回密码
密码			注册[Register]

[求助] 脱壳到入口部分push ebp时，鼠标滚轮移动，代码变化