-
-
OD DLL文件脱壳 不能单步跟踪
-
发表于:
2013-11-18 00:54
5775
-
《加密与解密》第三版->第13章->13.5节 DLL文件脱壳中有个DLL脱壳的例子。
dll名为EdrLib.dll,EXE名为EdrTest.exe。
问题一:
用OD加载EdrLib.dll,停在DLL入口函数处:
/*17D000*/ jmp short <ModuleEntryPoint>
/*17D002*/ retn 0
/*17D005*/ add byte ptr [esi], ch
/*17D007*/ rol byte ptr [eax], 1
到此为止,一切很正常,我试着按F8单步跟踪一下,OD没反应,按F7也没反应,按F9后,虽然程序运行起来了,但是却没有loaddll.exe加载DLL成功后的窗口显现出来。求解、求救。
问题二:
EdrTest.exe运行不起来,用OD调之,从LOG窗口分析得知,原来程序会一直处在加载msctf.dll的状态中。
可以确定的是,C:\Windows\SysWOW64目录下,是有这个DLL的,而且这个DLL在其他应用程序环境下运行良好。求解、救救。
我的OS是win764位英文版,OD是1.10 32位的。
求大神解救,不胜感激!
教学例子文件奉上:
EdrTest.rar
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
谢谢,原来如此,我竟然2到找不出原因!!伤心了。
