在论坛和GOOGLE上搜索了关于穿山甲加的DLL文件的壳,发现大家转的是相同的帖子内容。大家都运用的是
下断点 BP GetModuleHandleA+5,Shift+F9 运行中断后,注意看堆栈:
这里用 BP API+5 是为了多过壳检查是否下过 API 断点,相关资料看雪论坛上面可以找到。
00069364 /0006EAAC
00069368 |00B26DF3 返回到 00B26DF3 来自 kernel32.GetModuleHandleA
0006936C |00B3BC1C ASCII "kernel32.dll"
00069370 |00B3CEC4 ASCII "VirtualAlloc"
00069374 |00B3FA98
00069378 |7C9210ED ntdll.RtlLeaveCriticalSection
Shift+F9
00069364 /0006EAAC
00069368 |00B26E10 返回到 00B26E10 来自 kernel32.GetModuleHandleA
0006936C |00B3BC1C ASCII "kernel32.dll"
00069370 |00B3CEB8 ASCII "VirtualFree"
00069374 |00B3FA98
00069378 |7C9210ED ntdll.RtlLeaveCriticalSection
Shift+F9
000690C8 /00069368
000690CC |00B15CE1 返回到 00B15CE1 来自 kernel32.GetModuleHandleA
000690D0 |0006921C ASCII "kernel32.dll" 返回时机已到,
==========================================================
关键是我在学习脱个DLL文件时
前面的00069368 |00B26E10 返回到 00B26E10 来自 kernel32.GetModuleHandleA
0006936C |00B3BC1C ASCII "kernel32.dll"
00069370 |00B3CEB8 ASCII "VirtualFree"
是找到了 。可是没有见到
Shift+F9
000690C8 /00069368
000690CC |00B15CE1 返回到 00B15CE1 来自 kernel32.GetModuleHandleA
000690D0 |0006921C ASCII "kernel32.dll" 返回时机已到
而是见到了
CALL 到GetmoduleHandlA来自009A1D25
pModule=NULL
不知道怎办了
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!