首页
社区
课程
招聘
[求助]按照cektop大牛ZProtect脱壳的录像步骤,进入了模块 kernel32中,什么原因?
发表于: 2011-7-4 21:35 8918

[求助]按照cektop大牛ZProtect脱壳的录像步骤,进入了模块 kernel32中,什么原因?

2011-7-4 21:35
8918
按照cektop大牛ZProtect脱壳的录像步骤,研究一个软件。和录像中有点不一样,如下。

01BE1555   /74 21           je      short 01BE1578                   ; ////下硬件断点。  Z置1
01BE1557   |8BCB            mov     ecx, ebx
01BE1559   |E8 F2EFFFFF     call    01BE0550
01BE155E   |3D 2C230000     cmp     eax, 232C
01BE1563   |74 13           je      short 01BE1578
01BE1565   |8BCB            mov     ecx, ebx
01BE1567   |E8 74FEFFFF     call    01BE13E0
01BE156C   |85C0            test    eax, eax
01BE156E   |74 08           je      short 01BE1578
01BE1570   |6A 00           push    0
01BE1572   |FF15 3CA0BC01   call    dword ptr [1BCA03C]              ; kernel32.ExitProcess
01BE1578   \5F              pop     edi
01BE1579    5E              pop     esi

置1后,F9,来到了这里,(录像中是来到了一个CALL)而这次来到了一个CMP

然后,不管是F9,F7,F4都来到了如图位置:


不知道这是一种什么情况?

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
  • 1.jpg (190.09kb,306次下载)
  • 2.jpg (175.74kb,305次下载)
收藏
免费 1
支持
分享
最新回复 (3)
雪    币: 1489
活跃值: (1233)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
2
01BE1555   /74 21           je      short 01BE1578  
改成
01BE1555   /74 21           jmp     short 01BE1578   
试试。
会计算时间的,你懂的。
2011-7-4 22:46
0
雪    币: 102
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
谢谢金罡的回复,改过了,还不行。

01BE1555   /74 21           je      short 01BE1578                   ; ////下硬件断点。  Z置1

其它的例子,在此Z置1,F9后,走几步差不多就应该到达OEP了。我找的软件走几步是进入了模块 kernel32中。

不知道是什么原因?
2011-7-5 10:11
0
雪    币: 8322
活跃值: (3481)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
話說你跳轉的地址錯了,再下面的je改,還有,你可以在跳過後別直接F9,先F7跟幾步,下個esp硬件斷之後F9才到OEP的
2011-7-5 20:05
0
游客
登录 | 注册 方可回帖
返回
//