首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]按照cektop大牛ZProtect脱壳的录像步骤,进入了模块 kernel32中,什么原因?
发表于: 2011-7-4 21:35 8782

[求助]按照cektop大牛ZProtect脱壳的录像步骤,进入了模块 kernel32中,什么原因?

dqcz 活跃值
2011-7-4 21:35
8782
按照cektop大牛ZProtect脱壳的录像步骤,研究一个软件。和录像中有点不一样,如下。

01BE1555   /74 21           je      short 01BE1578                   ; ////下硬件断点。  Z置1
01BE1557   |8BCB            mov     ecx, ebx
01BE1559   |E8 F2EFFFFF     call    01BE0550
01BE155E   |3D 2C230000     cmp     eax, 232C
01BE1563   |74 13           je      short 01BE1578
01BE1565   |8BCB            mov     ecx, ebx
01BE1567   |E8 74FEFFFF     call    01BE13E0
01BE156C   |85C0            test    eax, eax
01BE156E   |74 08           je      short 01BE1578
01BE1570   |6A 00           push    0
01BE1572   |FF15 3CA0BC01   call    dword ptr [1BCA03C]              ; kernel32.ExitProcess
01BE1578   \5F              pop     edi
01BE1579    5E              pop     esi

置1后,F9,来到了这里,(录像中是来到了一个CALL)而这次来到了一个CMP

然后,不管是F9,F7,F4都来到了如图位置:


不知道这是一种什么情况?

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

上传的附件:
  • 1.jpg (190.09kb,306次下载)
  • 2.jpg (175.74kb,305次下载)
收藏
免费 1
支持
分享
最新回复 (3)
金罡
雪    币: 1534
活跃值: (738)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
2
01BE1555   /74 21           je      short 01BE1578  
改成
01BE1555   /74 21           jmp     short 01BE1578   
试试。
会计算时间的,你懂的。
2011-7-4 22:46
0
dqcz
雪    币: 102
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
谢谢金罡的回复,改过了,还不行。

01BE1555   /74 21           je      short 01BE1578                   ; ////下硬件断点。  Z置1

其它的例子,在此Z置1,F9后,走几步差不多就应该到达OEP了。我找的软件走几步是进入了模块 kernel32中。

不知道是什么原因?
2011-7-5 10:11
0
logkiller
雪    币: 7905
活跃值: (3081)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
話說你跳轉的地址錯了,再下面的je改,還有,你可以在跳過後別直接F9,先F7跟幾步,下個esp硬件斷之後F9才到OEP的
2011-7-5 20:05
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//