本来应该是这样的 但是
0042C3B0 /75 08 jnz short csvip.0042C3BA ; 这里断下,继续F8一次
0042C3B2 |B8 01000000 mov eax,1
0042C3B7 |C2 0C00 retn 0C
0042C3BA \68 91AB4000 push csvip.0040AB91 ; 跳向这里,准备飞向光明之颠!^_^
0042C3BF C3 retn ; 返回程序OEP,F8继续
........
0040AB91 6A 60 push 60 ; 在这儿用LordPE纠正ImageSize后完全Dump这个进程
0040AB93 68 C04F4100 push csvip.00414FC0
0040AB98 E8 A3E4FFFF call csvip.00409040
0040AB9D BF 94000000 mov edi,94
0040ABA2 8BC7 mov eax,edi
0040ABA4 E8 07F7FFFF call csvip.0040A2B0
0040ABA9 8965 E8 mov dword ptr ss:[ebp-18],esp
0040ABAC 8BF4 mov esi,esp
0040ABAE 893E mov dword ptr ds:[esi],edi
0040ABB0 56 push esi
0040ABB1 FF15 B8404100 call dword ptr ds:[4140B8] ; kernel32.GetVersionExA
0040ABB7 8B4E 10 mov ecx,dword ptr ds:[esi+10]
0040ABBA 890D 2C974100 mov dword ptr ds:[41972C],ecx
0040ABC0 8B46 04 mov eax,dword ptr ds:[esi+4]
0040ABC3 A3 38974100 mov dword ptr ds:[419738],eax
0040ABC8 8B56 08 mov edx,dword ptr ds:[esi+8]
0040ABCB 8915 3C974100 mov dword ptr ds:[41973C],edx
我弄完了 成了这样是怎么回事
[/IMG]
这里的 返回OEP,怎样才能返回OEP,知道的说下哦,给我们这些刚学的写机会哈!!!!!
还有 0040AB91 6A 60 push 60 ; 在这儿用LordPE纠正ImageSize后完全Dump这个进程
纠正的ImageSize 是什么意思,看不懂!!!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课