[求助]脱壳中单步进入和单步步过区别是什么?-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
LiXMX 雪币： 2155 活跃值： (29) 能力值： ( LV3，RANK：20 ) 在线值：发帖 28 回帖 336 粉丝 1 关注私信	LiXMX 2 楼字面意思啊，单步步过就是碰到call不进入call，单步步入就是进入call中执行。。。单步步过相当于单步步入后执行到ret指令的下一条。。。 2013-2-13 21:31 0
yyqlhudie 雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	yyqlhudie 3 楼楼上的,那个我知道啊.但脱壳时,单步步过和跳过有明显区别啊. 2013-6-18 15:11 0
hymeca 雪币： 284 活跃值： (322) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 25 粉丝 1 关注私信	hymeca 4 楼也许你问的是为什么近CALL要F7远CALL要F8吧，实际操作下就知道了近CALL你跟进去就是在下面几句代码，举个例子 00421000 CALL 00421006 如果这里你F8就到00421006，没有断点程序飞了 00421005 push ecx 00421006 test eax,eax F7跟进CALL 就会来到这，不会跑飞脱壳过程中会遇到很多类似的代码 2013-6-18 19:31 0
老伙计雪币： 807 活跃值： (2283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 606 粉丝 11 关注私信	老伙计 5 楼不是所有的 CALL 都能步过，当然，正常情况下应该是都能步过，但是，如果是如下这种情况就不能步过了： CALL FUN01 XOR EAX,EAX INC EAX . . . FUN01: POP EAX CALL FUN02 . . . "CALL FUN01" 指令后面的指令永远都没有机会执行了，因为函数 "FUN01" 在入口处就把返回地址给丢弃了(POP EAX)。“CALL FUN01”指令实际上起到的是 “JMP FUN01” 指令的作用。所以，必须选择步入才能保证对程序的调试控制。 2013-6-18 20:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
LiXMX 雪币： 2155 活跃值： (29) 能力值： ( LV3，RANK：20 ) 在线值：发帖 28 回帖 336 粉丝 1 关注私信	LiXMX 2 楼字面意思啊，单步步过就是碰到call不进入call，单步步入就是进入call中执行。。。单步步过相当于单步步入后执行到ret指令的下一条。。。 2013-2-13 21:31 0
yyqlhudie 雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	yyqlhudie 3 楼楼上的,那个我知道啊.但脱壳时,单步步过和跳过有明显区别啊. 2013-6-18 15:11 0
hymeca 雪币： 284 活跃值： (322) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 25 粉丝 1 关注私信	hymeca 4 楼也许你问的是为什么近CALL要F7远CALL要F8吧，实际操作下就知道了近CALL你跟进去就是在下面几句代码，举个例子 00421000 CALL 00421006 如果这里你F8就到00421006，没有断点程序飞了 00421005 push ecx 00421006 test eax,eax F7跟进CALL 就会来到这，不会跑飞脱壳过程中会遇到很多类似的代码 2013-6-18 19:31 0
老伙计雪币： 807 活跃值： (2283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 606 粉丝 11 关注私信	老伙计 5 楼不是所有的 CALL 都能步过，当然，正常情况下应该是都能步过，但是，如果是如下这种情况就不能步过了： CALL FUN01 XOR EAX,EAX INC EAX . . . FUN01: POP EAX CALL FUN02 . . . "CALL FUN01" 指令后面的指令永远都没有机会执行了，因为函数 "FUN01" 在入口处就把返回地址给丢弃了(POP EAX)。“CALL FUN01”指令实际上起到的是 “JMP FUN01” 指令的作用。所以，必须选择步入才能保证对程序的调试控制。 2013-6-18 20:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复