-
-
[求助]相同的加壳程序,在不同版本的XP中脱壳方法有差异吗???
-
发表于: 2014-3-20 13:44
-
如题。。。
今天发现的一个奇怪的问题。。。
我有两个WinXP的机器(虚拟机)。
机器A是SP2打补丁升级到SP3的。
机器B是在VPC上直接安装的SP3虚拟机。
我用ASPack对Winobj.exe加壳后再脱壳,在两个机器上结果不一样!
A上使用ESP定律的时候走过pushad后使用hr esp下硬件断点后,之后F9运行,这时候OD可以直接定位到OEP前面最后一个push和retn指令,F8两次过去之后就是OEP了。但是DUMP出来的映像一旦执行会提示错误0xC0000005。
B上使用ESP定律的时候走过pushad后使用hr esp下硬件断点后,之后F9运行,这时候后硬件断点触发就是在kernel32的地址空间了,然后经过几个retn返回程序领空,发现已经跑到OEP之后十几行了。但是这时候如果把EIP强行改为OEP再DUMP发现映像直接运行就没有错误。
有哪位碰到过类似问题,或者知道什么原因嘛?
今天发现的一个奇怪的问题。。。
我有两个WinXP的机器(虚拟机)。
机器A是SP2打补丁升级到SP3的。
机器B是在VPC上直接安装的SP3虚拟机。
我用ASPack对Winobj.exe加壳后再脱壳,在两个机器上结果不一样!
A上使用ESP定律的时候走过pushad后使用hr esp下硬件断点后,之后F9运行,这时候OD可以直接定位到OEP前面最后一个push和retn指令,F8两次过去之后就是OEP了。但是DUMP出来的映像一旦执行会提示错误0xC0000005。
B上使用ESP定律的时候走过pushad后使用hr esp下硬件断点后,之后F9运行,这时候后硬件断点触发就是在kernel32的地址空间了,然后经过几个retn返回程序领空,发现已经跑到OEP之后十几行了。但是这时候如果把EIP强行改为OEP再DUMP发现映像直接运行就没有错误。
有哪位碰到过类似问题,或者知道什么原因嘛?
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
