-
-
[求助]关于一个壳的问题!!
-
发表于:
2011-3-7 23:58
3983
-
注册了一段时间了,确实在看雪学了很多东西!
这次遇到一个壳,弄了我一个月了豪无进展!特请教各位大大!
该壳最主要的问题是dump以后,我用多个软件查看PE头,确认已修改了OEP指针,但每次用OD载入的时候,却总是先停在壳中,也就是说壳仍然先于OEP运行了?我也尝试下了几个内核API函数的断点(zwcreatfile等),发现壳应该是先HOOK了一些API了,我的问题是:
1,PE头中的OEP是已修改的地址,为什么OD载入并不先停在OEP?而直接就运行壳的代码?虽然该软件大量使用了SEH,但是第一次也应该停在OEP处啊!(OD系统设置是:第一次停在主模块入口)
2,该壳如果HOOK了内核API函数,用OD 应该如何调试?
软件下载地址:(进去看到的第一个软件)
http://www.e122.com/
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
