首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]关于脱壳的问题,望指教 0.00雪花
发表于: 2012-1-15 10:33 2289

[旧帖] [求助]关于脱壳的问题,望指教 0.00雪花

麦布雷 活跃值
2012-1-15 10:33
2289
遇到call会跑飞是不是因为程序的OEP就在这个CALL里面,所以要F7进入这个CALL去找?

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 1
支持
分享
最新回复 (6)
麦布雷
雪    币: 125
活跃值: (21)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
断空给的代码(http://bbs.pediy.com/showthread.php?t=144244)稍微改了一下,就变成刷页的代码了,这个不违规吧。。。
2012-1-15 13:42
0
luonanyun
雪    币: 30
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
虽然看不懂  还是给你顶顶
2012-1-16 23:37
0
老伙计
雪    币: 817
活跃值: (2063)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
不是所有的CALL都是函数调用,例如:

401000   CALL  402000
.
.
.
402000    ADD ESP , 4

上面的代码,表面上看是函数调用,实际上与

401000    jmp   402000

指令等效。

在另一些时候,表面看上去明明是跳转指令,实际上却是函数调用,例如:

401000    push  40100A
401005    jmp   User32.MessageBoxA
40100A    . . . . .

这段代码的作用是函数调用,等效于:

401000     CALL   User32.MessageBoxA
401005     NOP
401006     NOP
401007     NOP
401008     NOP
401009     NOP
40100A    . . . . . .
2012-1-17 00:02
0
麦布雷
雪    币: 125
活跃值: (21)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
明白了,感谢指导
2012-1-17 01:06
0
放狼a
雪    币: 14
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
....................................................
2012-1-18 14:56
0
天の道
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
嘿嘿,这个不晓得
2012-1-19 11:12
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//