首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
为什么和教程说的不一样啊
发表于: 2005-2-6 11:56 3734

为什么和教程说的不一样啊

sassy 活跃值
2005-2-6 11:56
3734
我用ASPACK加了NOTEPAD的壳。然后用OD脱。设置Ollydbg忽略除了“内存访问异常”之外的所有其它异常选项。用插件去掉Ollydbg的调试器标志(但看上去好像没有任何反应)。然后再打开目标程序。代码如下:
01010001 > 60               PUSHAD
01010002   E8 03000000      CALL NOTEPAD.0101000A
01010007  -E9 EB045D45      JMP 465E04F7
0101000C   55               PUSH EBP
0101000D   C3               RETN
0101000E   E8 01000000      CALL NOTEPAD.01010014
01010013   EB 5D            JMP SHORT NOTEPAD.01010072
01010015   BB EDFFFFFF      MOV EBX,-13
0101001A   03DD             ADD EBX,EBP
0101001C   81EB 00000100    SUB EBX,10000                            ; UNICODE "=::=::\"
01010022   83BD 22040000 00 CMP DWORD PTR SS:[EBP+422],0
01010029   899D 22040000    MOV DWORD PTR SS:[EBP+422],EBX
0101002F   0F85 65030000    JNZ NOTEPAD.0101039A
01010035   8D85 2E040000    LEA EAX,DWORD PTR SS:[EBP+42E]
0101003B   50               PUSH EAX
0101003C   FF95 4D0F0000    CALL DWORD PTR SS:[EBP+F4D]
01010042   8985 26040000    MOV DWORD PTR SS:[EBP+426],EAX
01010048   8BF8             MOV EDI,EAX
0101004A   8D5D 5E          LEA EBX,DWORD PTR SS:[EBP+5E]
0101004D   53               PUSH EBX
0101004E   50               PUSH EAX
0101004F   FF95 490F0000    CALL DWORD PTR SS:[EBP+F49]
01010055   8985 4D050000    MOV DWORD PTR SS:[EBP+54D],EAX
0101005B   8D5D 6B          LEA EBX,DWORD PTR SS:[EBP+6B]
0101005E   53               PUSH EBX
0101005F   57               PUSH EDI
01010060   FF95 490F0000    CALL DWORD PTR SS:[EBP+F49]
01010066   8985 51050000    MOV DWORD PTR SS:[EBP+551],EAX
0101006C   8D45 77          LEA EAX,DWORD PTR SS:[EBP+77]
0101006F   FFE0             JMP EAX
01010071   56               PUSH ESI
但教程说:
00401000     68 01C05900         push ARTCUR.0059C001//进入OD后停在这
00401005     E8 01000000         call ARTCUR.0040100B
0040100A     C3                  retn
怎么回事啊?
而且我按SHIFT+F9就按一下,程序就跑飞了。怎么回事啊

[课程]Android-CTF解题方法汇总!

收藏
免费 0
支持
分享
最新回复 (6)
sassy
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
还有个问题,怎么让od同时装两个插件啊?
2005-2-6 11:57
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
3
1、记事本不一样,不要太拘泥
2、OD自动加载Plugin目录下所有可用插件
2005-2-6 12:07
0
sassy
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
大哥!都知道我很菜了,就麻烦说清楚点哈
1。我用不用插件去掉调试器标志,调用程序的结果是一样的。调出来都是上面的代码。而且我调用别的加同样壳的程序,前面的代码都是类似的
60               PUSHAD
01010002   E8 03000000      CALL xxxxxxx
01010007  -E9 EB045D45      JMP xxxxxxx
但为什么你调用后就是
push xxxxxxx
call xxxxxxx
然后我按shift+f9程序就直接运行了,再按第二次,就没任何反应了。不象你们说的要按好几次,才能找到最后的异常。而且我选隐藏,好像看不出有任何反应。
2。自动加载怎么自动法啊!加插件不就是在目录里选插件的位置么?但只能选一个插件的位置。其他的插件就选不了啦。
2005-2-6 12:35
0
clide2000
雪    币: 301
活跃值: (300)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
私信
5
说清楚些,你加的是Aspack还是asprtect,前者是普能的压缩壳,没有什么异常,所以根本用不到shift+f9的,而后者是个加密壳,异常多多,须用shift+f9才能运行的
2005-2-6 14:52
0
happyknife
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
跟教程说的不同的
你那个壳用esp定律就可以搞定了
2005-2-6 15:05
0
sassy
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
哦,加的是是Aspack的壳。NOTEPAD的脱壳我已经解决了。谢谢大家!
2005-2-6 16:21
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//