能力值:
( LV2,RANK:10 )
|
-
-
如何确定OEP
GOOD,但是要确定OEP的位置在我看来没有别的技巧,只有不断调试寻找,基本上调试多了就会知道那里是OEP。
OEP一般有以下特征,基本上C++编写的OEP处会这样:
0040224E > 55 push ebp
0040224F 8BEC mov ebp,esp
00402251 6A FF push -1
00402253 68 08394000 push unpacked.00403908
00402258 68 D4234000 push <jmp.&msvcrt._except_handler3>
0040225D 64:A1 00000000 mov eax,dword ptr fs:[0]
00402263 50 push eax
00402264 64:8925 00000000 mov dword ptr fs:[0],esp
VB程序会是这样的:
00403004 > 68 9C334000 push llk.0040339C ; ASCII "VB5!6&*"
00403009 E8 EEFFFFFF call <jmp.&MSVBVM60.ThunRTMain> Delphi程序会是:
恨delphi程序,调试麻烦,总是发送消息!! 总之这个是平日里多积累,慢慢就会有感觉的
|