首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]穿山甲通过2次断点找到了call edi F7进去后不是 0.00雪花
发表于: 2012-6-16 19:55 1788

[旧帖] [求助]穿山甲通过2次断点找到了call edi F7进去后不是 0.00雪花

hlisrobber 活跃值
2012-6-16 19:55
1788
【求助】穿山甲通过2次断点找到了call edi F7进去后不是教程上写的。。。我找到的代码如下。。是不是我哪里搞错了? 按照教程上说的应该是程序的入口了。。
004014AC   /EB 10           jmp short MLEx.004014BE
004014AE   |66:623A         bound di,dword ptr ds:[edx]
004014B1   |43              inc ebx
004014B2   |2B2B            sub ebp,dword ptr ds:[ebx]
004014B4   |48              dec eax
004014B5   |4F              dec edi
004014B6   |4F              dec edi
004014B7   |4B              dec ebx
004014B8   |90              nop
004014B9  -|E9 98605100     jmp 00917556
004014BE   \A1 8B605100     mov eax,dword ptr ds:[51608B]
004014C3    C1E0 02         shl eax,2
004014C6    A3 8F605100     mov dword ptr ds:[51608F],eax
004014CB    52              push edx
004014CC    6A 00           push 0
004014CE    E8 31361100     call MLEx.00514B04                       ; jmp 到
004014D3    8BD0            mov edx,eax
004014D5    E8 9A591000     call MLEx.00506E74
004014DA    5A              pop edx
004014DB    E8 F8581000     call MLEx.00506DD8
004014E0    E8 CF591000     call MLEx.00506EB4
004014E5    6A 00           push 0
004014E7    E8 B06F1000     call MLEx.0050849C
004014EC    59              pop ecx

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (9)
hlisrobber
雪    币: 39
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
高人呢。。。
2012-6-16 22:43
0
hlisrobber
雪    币: 39
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
高人啊!!!!!!!!!!!!!!
2012-6-23 20:27
0
锋少w
雪    币: 11
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
楼主QQ多少?我添加你一起研究
2012-7-8 21:09
0
南山小松
雪    币: 114
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
跟到壳的解压缩函数,然后在上一层RUN跟踪,很容易就找到入口函数了,几乎可以通杀所有壳。
2012-7-9 01:29
0
锋少w
雪    币: 11
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
南山你好,我们交换一下QQ号码,一起讨论好吗?我的QQ号码是21041060。谢谢
2012-7-9 19:26
0
锋少w
雪    币: 11
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
哪位大牛麻烦给解释一下
2012-7-12 21:33
0
知乐君子
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
这个我也遇到过
2013-10-19 12:23
0
只是玩玩
雪    币: 37
活跃值: (80)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
我也搞了下。。
有两个问题
1.magic jump 要处理,不然怎么搞都出错。
2.Import Fix 1.6修复时,把下面的:Size(大小)改成1000.
--------------------
第一遍,我用穿山甲常用方法脱的,只要把上面的 2. 改了就行了。
bp GetModuleHandleA+5
bp GetCurrentThreadId
----------------------
第二遍,我单步直接到OEP,脱壳时把上面的 2. 改了,还是出错。
----------------------
第三遍,我把 magic jump 处理了,在直接到OEP,脱壳后就没有错了
-------------
GetModuleHandleA
GetCurrentThreadId
这两个命令,我在单步的时候,都看到的
=====================================================
005AD43A    56              PUSH ESI
005AD43B    FF15 7CF15C00   CALL DWORD PTR DS:[<&KERNEL32.GetModuleHandleA>]         ; kernel32.GetModuleHandleA
005AD441    50              PUSH EAX
005AD442    E8 3975FFFF     CALL MLEx.005A4980                                       ; 跑飞。。。。1111111111
-----

005A44E3    FF15 3C275D00   CALL DWORD PTR DS:[5D273C]                               ; 跑飞。。。。。22222

----
00CDCF27    FF15 FC50CE00   CALL DWORD PTR DS:[CE50FC]                               ; kernel32.GetCurrentThreadId
......
.....
.....
00CDCFAC    FFD7            CALL EDI                                                 ; 进  OEP 了
=====================================================

---------------------
00CC5362    0F84 AD000000   JE 00CC5415
-----------------------
magic jump ,大神们是如何知道的,我就不知道了。
我在单步时也没看到。
如果magic jump不处理,要怎样修复才能不出错呢。
希望大神能指点。
2013-10-23 10:14
0
tongxintec
雪    币: 21
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
求android底层驱动反汇编,高手请联系qq:927090008,按照做项目付费,重酬!
2013-10-23 16:44
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//