首页
社区
课程
招聘
[旧帖] [求助]加了伪装壳的.DLL文件如何脱壳? 0.00雪花
发表于: 2010-4-21 13:55 1298

[旧帖] [求助]加了伪装壳的.DLL文件如何脱壳? 0.00雪花

2010-4-21 13:55
1298
用peid查壳什么也没发现.  OD载入程序入口点是:009EC7DD   E81C000000 CALL  009EC7FE  ESP定律不行啊. F8向下程序就运行了

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 111
活跃值: (29)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
根据ESP定律,你下“HR (ESP值-4)”硬件读断点试下看。或者F7单步进CALL再下断,这时候还是用“HR (ESP值-4)”硬件读断点。
我就是用这方法找伪OEP的。

再重复一下,步CALL的原则:短程近调用的CALL用F7步入,远程调用的CALL用F8步过。

不要老是用F8步过省事,有时候壳的反单步CALL的时候用F7是必须的(特别是Themida的壳里面全是这类CALL,而且用老PEID查壳显示*Nothing)。你的错误是单步的方法不对,不是ESP定律的问题。
2010-4-22 02:32
0
游客
登录 | 注册 方可回帖
返回
//