-
-
[求助]第一次练习脱壳,被yoda's Protector 1.03.3 -> Ashkbiz Danehkar给难住了,求指点
-
发表于:
2011-3-12 20:00
7098
-
[求助]第一次练习脱壳,被yoda's Protector 1.03.3 -> Ashkbiz Danehkar给难住了,求指点
这是一个教学录像里面的crackme, 程序在附件里. 按着步骤做.没想到还是出现了新问题.
录像里面的教学步骤如下:
1, 忽略掉所有异常.
2, F9直接运行.
3, 查看运行记录. 找到最后一处访问异常(写0x00000000处), 根据seh句柄转到oep.
可是我按步骤做了以后, 发现:
1, F9运行后, 除了几个int3 异常, 访问异常不止一处,而是有多处. 第一处是
Log data, 条目 8
地址=0040534A
消息=访问违规: 正在写入到 [008154DE]
而且到最后一处异常时, od中堆栈已空, 无法恢复.
于是我到论坛上找了一些资料, 做了如下尝试:
1, 修改IsDebuggerPresent() 函数, 使之返回0.
2. 修改GetCurrentProcessId() 函数, 使之返回od进程id.
3, 在LoadLibaryA()函数处下断点, 等 user32.dll加载后, nop掉 BlockInput 函数.
但是F9运行后还是跑空了. ps: 我已经使用了 HideOD和StrongOD 插件来隐藏OD
求指点~~
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!