-
-
[求助]关于一个壳的问题!!
-
发表于:
2011-3-7 23:58
3982
-
注册了一段时间了,确实在看雪学了很多东西!
这次遇到一个壳,弄了我一个月了豪无进展!特请教各位大大!
该壳最主要的问题是dump以后,我用多个软件查看PE头,确认已修改了OEP指针,但每次用OD载入的时候,却总是先停在壳中,也就是说壳仍然先于OEP运行了?我也尝试下了几个内核API函数的断点(zwcreatfile等),发现壳应该是先HOOK了一些API了,我的问题是:
1,PE头中的OEP是已修改的地址,为什么OD载入并不先停在OEP?而直接就运行壳的代码?虽然该软件大量使用了SEH,但是第一次也应该停在OEP处啊!(OD系统设置是:第一次停在主模块入口)
2,该壳如果HOOK了内核API函数,用OD 应该如何调试?
软件下载地址:(进去看到的第一个软件)
http://www.e122.com/
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
