[求助]请教关于OD载入文件-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
伏特加雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	伏特加 2014-3-2 16:22 2 楼 0 我想这问题对于常脱壳的来说应该不难就没有肯为晚辈解惑的吗
学编程雪币： 163 活跃值： (1303) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 440 粉丝 2 关注私信	学编程 1 2014-3-3 11:07 3 楼 0 看程序的启动代码
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 2014-3-3 11:16 4 楼 0 OD载入文件是打开啊。怎么可能是loadlibrary... . CreateProcess DEBUG_PROCESS If this flag is set, the calling process is treated as a debugger, and the new process is a process being debugged. Child processes of the new process are also debugged. The system notifies the debugger of all debug events that occur in the process being debugged. If you create a process with this flag set, only the calling thread (the thread that called CreateProcess) can call the WaitForDebugEvent function
fqzhao 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	fqzhao 2014-3-5 17:03 5 楼 0 要是没理解错的话，全局变量初始化这个过程是在exe/DLL加载后到真正的main之间的vc编译器的stub代码做的，有个initterm函数，里面循环执行函数指针，这些函数指针对应全局变量的初始化函数。 vc编辑器编出来的东西做全局变量初始化都是这么干的。对于EXE，OD 有的（2.0或一些插件）能识别编译器，自动跳过stub code定位到main上面。DLL的话好像没见过能直接定位到真正的dllmain的。我是这么理解的。要不然全局变量初始化成什么OD怎么能知道。
伏特加雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	伏特加 2014-3-7 16:17 6 楼 0 谢谢！
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (5)
伏特加雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	伏特加 2014-3-2 16:22 2 楼 0 我想这问题对于常脱壳的来说应该不难就没有肯为晚辈解惑的吗
学编程雪币： 163 活跃值： (1303) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 440 粉丝 2 关注私信	学编程 1 2014-3-3 11:07 3 楼 0 看程序的启动代码
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 2014-3-3 11:16 4 楼 0 OD载入文件是打开啊。怎么可能是loadlibrary... . CreateProcess DEBUG_PROCESS If this flag is set, the calling process is treated as a debugger, and the new process is a process being debugged. Child processes of the new process are also debugged. The system notifies the debugger of all debug events that occur in the process being debugged. If you create a process with this flag set, only the calling thread (the thread that called CreateProcess) can call the WaitForDebugEvent function
fqzhao 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	fqzhao 2014-3-5 17:03 5 楼 0 要是没理解错的话，全局变量初始化这个过程是在exe/DLL加载后到真正的main之间的vc编译器的stub代码做的，有个initterm函数，里面循环执行函数指针，这些函数指针对应全局变量的初始化函数。 vc编辑器编出来的东西做全局变量初始化都是这么干的。对于EXE，OD 有的（2.0或一些插件）能识别编译器，自动跳过stub code定位到main上面。DLL的话好像没见过能直接定位到真正的dllmain的。我是这么理解的。要不然全局变量初始化成什么OD怎么能知道。
伏特加雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 45 粉丝 0 关注私信	伏特加 2014-3-7 16:17 6 楼 0 谢谢！
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复