有一软件PECompact 2.x -> Jeremy Collake加壳,单步法脱壳倒也容易,可是脱了壳,运行时自动关闭了。估计有自校验,就用BP ExitProcess 断下后,但进入了系统的内核NTDLL,按照堆栈地址提示返回了但还是在NTDLL模块,按ALT+F9无法返回程序领空,因为那项菜单项灰的以下就是返回后的代码NTDLL模块
77055AF5 BA 0003FE7F MOV EDX,7FFE0300
77055AFA FF12 CALL NEAR DWORD PTR DS:[EDX]
77055AFC C2 1400 RETN 14
77055AFF 90 NOP
77055B00 > B8 87010000 MOV EAX,187
77055B05 BA 0003FE7F MOV EDX,7FFE0300
77055B0A FF12 CALL NEAR DWORD PTR DS:[EDX]
77055B0C C2 0C00 RETN 0C
77055B0F 90 NOP
77055B10 > B8 88010000 MOV EAX,188
77055B15 BA 0003FE7F MOV EDX,7FFE0300
77055B1A FF12 CALL NEAR DWORD PTR DS:[EDX]
77055B1C C2 0800 RETN 8 //此处为返回后的代码, 再想返回程序领空,按键无动作
77055B1F 90 NOP
77055B20 > B8 89010000 MOV EAX,189
77055B25 BA 0003FE7F MOV EDX,7FFE0300
77055B2A FF12 CALL NEAR DWORD PTR DS:[EDX]
77055B2C C2 0400 RETN 4
77055B2F 90 NOP
77055B30 > B8 8A010000 MOV EAX,18A
77055B35 BA 0003FE7F MOV EDX,7FFE0300
77055B3A FF12 CALL NEAR DWORD PTR DS:[EDX]
我想返回程序领空,不知该做什么,还有就是以后遇到无法用ALT+F9返回领空,该怎么办,望高人解惑,谢谢。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课