首页
社区
课程
招聘
跟踪PEquake的疑惑
发表于: 2011-3-2 22:53 12832

跟踪PEquake的疑惑

2011-3-2 22:53
12832
单步跟踪和直接下断点(BP xxxxxxxx)有什么区别呢?

最近在看<<看雪学院十周年纪念收藏版>>的关于脱壳的文章,看了不少壳,跟着教程,盲人摸象,学到了不少东西。。

最近看到一篇文章PEquake记事本脱壳(http://bbs.pediy.com/showthread.php?t=93063 ),发现在文章的一句:“在入口处下断点bp 392597 F9运行来到这里”,
00392597     E8 00000000        call 0039259C
0039259C     5D                         pop ebp
0039259D     81ED A4184000    sub ebp,4018A4
003925A3     68 F4010000         push 1F4
003925A8     FF95 B1634000   call dword ptr ss:[ebp+4063B1]      

我单步运行怎么也到不了00392597那里,但按他说的那样下断点BP 392597然后按F9,就达到了。。这是为什么呢?                          

我的调试时这样的:载入,设置:非法访问内存不勾,其它异常全勾
F9+20*(SHIFT+F9),当按第21下(SHIFT+F9),程序就退出了,所以在第20下的时候进入SEH一看究竟,进去后又有四个除0异常,全部都进去看,他们的handler,分别是3920D4,3921F0,392262,3922A4,进到3922A4后,一直单步运行(只是步过系统的DLL),曾经到过上面文章的CreateThread,并且确定程序与上面文章执行到是同等的程度,但是总不能到达392597,请问这是为什么呢?

所以不知道是不是单步和直接下断点执行会有所不同?

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 90
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
实例程序在上面的连接中。。虚心求教
2011-3-2 22:56
0
游客
登录 | 注册 方可回帖
返回
//