-
-
内存断点法怎么用,用了半天越用越糊涂
-
发表于:
2005-7-12 22:08
4229
-
看了二哥的教材手动脱壳,跟着他的教材一步一步用二次内存断点法,但是我怎么弄都得不到他的结果啊。
手动脱壳进阶第九篇Acprotect1.09里说
选择了内存Code段镜像断点。
Alt+M
下401000处Code段内存访问断点,F9运行后中断
跳到
004010D2 56 PUSH ESI 到这里,这里是什么地方?我们知道记事本的Oep是4010cc,好Ctrl+G 4010cc看看
程序入口点是
0040D000
我依他所说的下了断点后,是内存访问短点,按F9,
程序中断在:
00413E7B F3:A4 rep movs byte ptr es:[edi],byte ptr d>
00413E7D 58 pop eax
00413E7E 50 push eax
00413E7F FFB5 2C404000 push dword ptr ss:[ebp+40402C]
00413E85 E8 7F400100 call NOTEPAD.00427F09
00413E8A FFB5 2C404000 push dword ptr ss:[ebp+40402C]
ollydbg右下放显示读取[00401000]设置内存中断,
我看到eax和esi的内容是00401000,
请问我应该怎么做才能得到二哥教程里的结果,
我都弄糊涂了,
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
