-
-
请教:Aspr2.x,如何能断下壳申请新的内存段?
-
发表于: 2005-10-21 17:05
-
|
|
|---|---|
|
|
 是不是没说清楚,好像没人理啊。
|
|
|
|
|
|
多谢版主,可是这个根本就断不到啊,我连HeapAlloc都试了,就是断不到,he VirtualAlloc,he HeapAlloc,shift+F9程序就运行起来了,然后Alt+M一看,多了好几个内存块,没有授权的提示也出来了。
|
|
|
|
|
|
多谢,果然可以断下!
请问,OD刚装入的时候下断和NtContinue中断20次后下断有什么区别? 我是想Aspr可能把API的头上的一部分代码模拟到壳里了,但是我直接断ntdll里的函数也不行啊,肯请版主指正。 
|
|
|
|
|
|
|
|
|
|
|
|
再顶顶,望版主和各位大侠指正!
|
|
|
|
|
|
大概情况是这样:用OD载入程序,hideDebug,留下Int3和内存访问异常,在经过1次Int3、18次内存访问、一次int3、一次内存访问异常后,程序就要进入真正的OEP了,但是入口的代码都被抽到壳里了,包括入口用到的一些数据,这时程序的内存里还没有那些内存块,我可以bp下断让程序停在人口后的一段位置,然后通过数据查找找到一些特征字符串,但这些字符串没有在程序正常的数据段内,而是在一个新的内存块里,我就想知道是那儿代码调用了这些数据,这样我可以做一个内存布丁修改代码,但是我在程序跳到真正的入口前下 he VirtualAlloc和 he HeapAlloc就没有用,我下断之后Shift+F9,程序就直接运行起来了,没有断下来,这时我再看程序的内存段,就有好几个新的内存段,我就是想在壳申请新内存段的时候断下来,这样我就可以在新内存块里下内存访问断点了。
汗,不知道说清楚了没有。 
|
|
|
|
|
|
我这么考虑这个问题,可以让程序停下来,然后通过内存搜索找到相关的代码的,这样就可以直接Patch了。
 是否想的太简单了?
|
