00B34988 55 push ebp ; HexCmp.005D9432
00B34989 8BEC mov ebp, esp
00B3498B 83C4 B4 add esp, -4C
00B3498E B8 5848B300 mov eax, 0B34858
00B34993 E8 8006FFFF call 00B25018
00B34998 E8 73E9FEFF call 00B23310
00B3499D 8D40 00 lea eax, dword ptr [eax]
00B349A0 0000 add byte ptr [eax], al
用peid看到是这个ASProtect 1.22 - 1.23 Beta 21 -> Alexey Solodovnikov
dump出来修复不了
import的OEP设置成00734988,ITA autosearch显示 invalid OEP!it does not match in the process memory
哪里出问题了
============================================================
新问题:
还是这个呀,又遇到一个同样类似壳的软件,那个被人脱掉了呀,但是没有说怎么脱掉的……
现在拿出来继续弄
现在我才知道是那些异常被strongod给忽略了……
但是最后一次的异常是这样的
0012FF60 0012FFE0 指向下一个 SEH 记录的指针
0012FF64 00B22D21 SE处理程序
在地址00B22D21下断点F2,Shift+F9断下来了,可是问题又出来了
就这么几行
00B22D21 8B4424 0C mov eax, dword ptr [esp+C]
00B22D25 8380 B8000000 0>add dword ptr [eax+B8], 2
00B22D2C C740 18 0000000>mov dword ptr [eax+18], 0
00B22D33 31C0 xor eax, eax
00B22D35 C3 retn
这样是不是不处理异常?retn后就回到ntdll了然后直接几个指令之后就sysenter了
上次异常时候seh链是这样的
0012FF60 0012FFE0 指向下一个 SEH 记录的指针
0012FF64 00B22D21 SE处理程序
……
……
0012FFE0 FFFFFFFF SEH 链尾部
0012FFE4 7C839AD8 SE处理程序
7C839AD8 在kernel32里,F2下断也不会停在这儿
还有呀,那个od怎么就不能用那个执行到用户代码了?有时候能用,有时候不能用
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
上传的附件: