|
|
|---|---|
|
|
老哥写错字了吧,不是在oep下断,是在ep下断就能到01039800
|
|
|
神奇,触发异常,正常运行情况下居然是忽视异常不进入seh,而调试情况下则是进入seh。和我以前学的遇到异常的处理流程完全反了过来,如果不是我调试了一遍,我会认为楼主又写错字了
|
|
|
花了两个星期才看完了一半多一点,楼主把所有的加密解密分析做出来,花的时间真的不敢想象
|
|
|
anti debug终于都过了,本来想修改push数据dump下来,就不用一次次下断改地址跳这么麻烦,结果发现push的数据不仅仅有加密,而且ebx有绑定,push的数据变了ebx不同了后面的pcode也都变了,我又想把pcode变对不就行了,又发现pcode和ebx也有绑定,想了想只能搞补丁,太麻烦就没搞,所以只能改跳转地址了每次调试要要搞一会才能到地方,跳这些antidebug错一下就重启,搞了很多次不知道浪费了我多少时间,终于搞完了所有antidbug要跳的地方,贴出来给节省大家的时间
|
|
|
|
|
|
|
|
|
最后一次bp VirtualProtect以后,对vmp0还是vmp下2、3次内存访问断点,就是oep了。。。 |
|
|
|
|
|
|
|
|
|
|
|
|
下咯
