[讨论]脱壳，找到OEP后，跳转乱码，求解决-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (3)
luzechao 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 176 粉丝 0 关注私信	luzechao 2 楼 004011D8 68 D0164000 push UnPackMe.004016D0 004011DD E8 F0FFFFFF call UnPackMe.004011D2 ; jmp 到 msvbvm60.ThunRTMain 004011E2 0000 add byte ptr ds:[eax],al 004011E4 0000 add byte ptr ds:[eax],al 004011E6 0000 add byte ptr ds:[eax],al 004011E8 3000 xor byte ptr ds:[eax],al 004011EA 0000 add byte ptr ds:[eax],al 004011EC 3800 cmp byte ptr ds:[eax],al 004011EE 0000 add byte ptr ds:[eax],al 004011F0 0000 add byte ptr ds:[eax],al 004011F2 0000 add byte ptr ds:[eax],al 004011F4 DD ??? ; 未知命令 004011F5 081B or byte ptr ds:[ebx],bl 004011F7 78 17 js short UnPackMe.00401210 004011F9 F5 cmc 004011FA 3F aas 004011FB 42 inc edx 004011FC 98 cwde 004011FD 1C 46 sbb al,46 004011FF 8380 3457870>add dword ptr ds:[eax+875734],0 00401206 0000 add byte ptr ds:[eax],al 00401208 0000 add byte ptr ds:[eax],al 004011D8 这不就是oep么直接用od的插件dump出来就脱壳了啊 2012-5-14 19:20 0
Charlesccz 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 12 粉丝 0 关注私信	Charlesccz 3 楼我也是到这边的啊，可是很明显OEP下面一句就跳转到其他地方去了，而且这个开头看着也不想程序头啊~~~我在这个点dump，然后Import RE重做，最后壳显示脱掉了，但是OD加载dump后程序无法运行了~~~~不晓得你那边测出来什么情况？？ 2012-5-15 09:13 0
luzechao 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 176 粉丝 0 关注私信	luzechao 4 楼 vb程序不就是那个入口么你到了oep继续往下干嘛... 程序跑到004011D8 就是oep 然后去除分析在用od的dump插件脱壳保存就脱壳了啊运行程序正常可用 peid查壳显示vb5/6 你到004011D8 就dump试试 2012-5-15 10:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
luzechao 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 176 粉丝 0 关注私信	luzechao 2 楼 004011D8 68 D0164000 push UnPackMe.004016D0 004011DD E8 F0FFFFFF call UnPackMe.004011D2 ; jmp 到 msvbvm60.ThunRTMain 004011E2 0000 add byte ptr ds:[eax],al 004011E4 0000 add byte ptr ds:[eax],al 004011E6 0000 add byte ptr ds:[eax],al 004011E8 3000 xor byte ptr ds:[eax],al 004011EA 0000 add byte ptr ds:[eax],al 004011EC 3800 cmp byte ptr ds:[eax],al 004011EE 0000 add byte ptr ds:[eax],al 004011F0 0000 add byte ptr ds:[eax],al 004011F2 0000 add byte ptr ds:[eax],al 004011F4 DD ??? ; 未知命令 004011F5 081B or byte ptr ds:[ebx],bl 004011F7 78 17 js short UnPackMe.00401210 004011F9 F5 cmc 004011FA 3F aas 004011FB 42 inc edx 004011FC 98 cwde 004011FD 1C 46 sbb al,46 004011FF 8380 3457870>add dword ptr ds:[eax+875734],0 00401206 0000 add byte ptr ds:[eax],al 00401208 0000 add byte ptr ds:[eax],al 004011D8 这不就是oep么直接用od的插件dump出来就脱壳了啊 2012-5-14 19:20 0
Charlesccz 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 12 粉丝 0 关注私信	Charlesccz 3 楼我也是到这边的啊，可是很明显OEP下面一句就跳转到其他地方去了，而且这个开头看着也不想程序头啊~~~我在这个点dump，然后Import RE重做，最后壳显示脱掉了，但是OD加载dump后程序无法运行了~~~~不晓得你那边测出来什么情况？？ 2012-5-15 09:13 0
luzechao 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 176 粉丝 0 关注私信	luzechao 4 楼 vb程序不就是那个入口么你到了oep继续往下干嘛... 程序跑到004011D8 就是oep 然后去除分析在用od的dump插件脱壳保存就脱壳了啊运行程序正常可用 peid查壳显示vb5/6 你到004011D8 就dump试试 2012-5-15 10:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [讨论]脱壳，找到OEP后，跳转乱码，求解决 0.00雪花