标 题: Armadillo标准壳完全扫盲
发帖人:henryouly
时 间: 2005-08-02 16:13
原文链接:http://bbs.pediy.com/showthread.php?threadid=15803
【Action 1】 明察暗访OEP
OD载入程序，用插件隐藏OD，忽略所有异常，alt_m查看内存映射，在00401000处下内存读取断点，F9
程序停下来了，看到没有，熟悉的开头。没有看到？肯定你遇到异常了，shift_F9试试？
005E14E4     55              push ebp
005E14E5     8BEC            mov ebp,esp
005E14E7     83C4 E4         add esp,-1C
我在此过程中遇到问题，SHIFT F9 同样没有看到 PUSH EBP ，但在数次SHIFT F9这后，能找到一个PUSH EBP ，不知道所说的是不是这个?
【Action 3】扫清地雷阵
OD没有关掉吧？恩，别动它，继续保持。运行ImportREC，选择程序进程，在下面的IAT Infos needed填入刚才拿到的OEP。AutoSearch，看到RVA框变了，那个就是IAT的地址和大小了。我这里找到的数值是001ED240
回到OD，d 5ed240（还记得刚刚说过的内存偏移的换算关系吗？），看到什么了？那个就是IAT呀。记下它的样子。然后分别在第一个项目和最后一个项目下硬件写入断点。（为什么用硬件捏？因为它不影响速度，而且重新运行的时候不会没掉，呵呵）
这段话中 那个d 5ed240如何去查看，我按照你的方法用了我找到的OEP  ，CTRL F无法查找。
还有，第一项目，和最后一项目下硬件断点，  这句话中第一项目和最后一项目，意思不是太明白。请指教。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！