-
-
[旧帖] 为了一个查找OEP的想法,浪费了一晚上的美好时光。 0.00雪花
-
发表于: 2010-2-3 19:30
-
某日午休突觉腹痛,直接冲入WC……
蹲点有点辛苦,时间一分一秒地过去,无报纸可看,无事可做挺无聊,还是看脑袋里有啥突发奇想吧……
突然想到可不可以用在OD内存影射的区段中下断的方式来尝试查找OEP,正好手上有个armadillo4.40加过壳的一个DLL,心动不如行动,看到旁边有一叠纸,虽然不是厕纸,不管了,赶快出去证实一下自己的想法先。
打开OD,载入DLL,在内存影射中text段下断,按F9,一次,两次,三次,竟然跳回到了DLL,难道这个就是OEP?不管,先记下来。然后打开armadeggon,再打开刚刚的DLL,尝试脱壳,提示找到的OEP竟然和我在OD中看到的地址一样,兴奋中,刚想泡杯咖啡,电话铃响,喂字还没过去,一声狮子吼就传了过来,“开会了,快点过来!”没办法,收拾资料,咦,有份资料不见了。。。难道在WC里用的竟然是开会的资料???惨了
,只能硬着头皮给老人家打电话诉说腹痛拉屎的痛苦,并恳请第二天再开会。嗯,老人家很理解,把开会时间推到第二天上班。时间足够,只是美好的夜生活就要在公司度过了
。
蹲点有点辛苦,时间一分一秒地过去,无报纸可看,无事可做挺无聊,还是看脑袋里有啥突发奇想吧……
突然想到可不可以用在OD内存影射的区段中下断的方式来尝试查找OEP,正好手上有个armadillo4.40加过壳的一个DLL,心动不如行动,看到旁边有一叠纸,虽然不是厕纸,不管了,赶快出去证实一下自己的想法先。
打开OD,载入DLL,在内存影射中text段下断,按F9,一次,两次,三次,竟然跳回到了DLL,难道这个就是OEP?不管,先记下来。然后打开armadeggon,再打开刚刚的DLL,尝试脱壳,提示找到的OEP竟然和我在OD中看到的地址一样,兴奋中,刚想泡杯咖啡,电话铃响,喂字还没过去,一声狮子吼就传了过来,“开会了,快点过来!”没办法,收拾资料,咦,有份资料不见了。。。难道在WC里用的竟然是开会的资料???惨了
,只能硬着头皮给老人家打电话诉说腹痛拉屎的痛苦,并恳请第二天再开会。嗯,老人家很理解,把开会时间推到第二天上班。时间足够,只是美好的夜生活就要在公司度过了。
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
