OD怎么监测每一个跳转是否跳了，录制正确的跳转流程-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
htpidk 雪币： 7130 活跃值： (3778) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 277 粉丝 1 关注私信	htpidk 2 楼 LZ的结帖率是亮点。 2014-5-28 19:32 0
大长老雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	大长老 3 楼破解狗比较快吧 2014-5-28 20:22 0
Yecate 雪币： 149 活跃值： (2618) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 259 粉丝 6 关注私信	Yecate 4 楼 LZ的结帖率是亮点。 + 10086 2014-5-28 22:33 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 5 楼一般来说，就是运行跟踪了，记得先保存记录，再 CTRL+F11，高级一点就写个脚本（这个效果好） 2014-5-28 22:51 0
十年后雪币： 7906 活跃值： (3841) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 172 粉丝 0 关注私信	十年后 6 楼不知道脚本你写过吗？ 2014-5-30 08:01 0
wwwyz 雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wwwyz 7 楼设断点跟踪调试。 2014-5-30 08:39 0
十年后雪币： 7906 活跃值： (3841) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 172 粉丝 0 关注私信	十年后 8 楼有的狗也不是那么容易破的！ 2014-5-30 08:41 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 9 楼写过一个模拟运行，如果单纯的 var cmd var log_code mov log_code,"log_code.txt" wrt log_code," " loop: sti // 这样跟进 call 里面，但是会文件很大，sto 就步过了 call gci eip,COMMAND mov cmd,$RESULT eval "{eip} : {cmd} " wrta log_code,$RESULT // 把所有的指令和地址记录到文件夹下面的 log_code.txt 里面 jmp loop // 这种法子可以记录，但是效果就不好，太慢了，你必须把 OD 最小化，这样速度会快一些还不单止慢，还会容易给检测到，你要写个模拟执行的，呵呵最终效果： 4EE901 : PUSHFD 4EE902 : CLC 4EE903 : SUB ESP, 0x13 4EE906 : JMP SHORT vc6_mfc_.004EE88F 4EE88F : POP DWORD PTR [ESP+0x4] 4EE893 : MOV DWORD PTR [ESP+0x2], ESP 4EE897 : MOV BYTE PTR [ESP+0xB], BL 4EE89B : MOV BYTE PTR [ESP+0x5], DH 4EE89F : JMP SHORT vc6_mfc_.004EE8C6 4EE8C6 : SUB ESP, 0x15 4EE8C9 : PUSH WORD PTR [ESP+0xB] 4EE8CE : CALL vc6_mfc_.004EE8B0 2014-5-30 10:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
htpidk 雪币： 7130 活跃值： (3778) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 277 粉丝 1 关注私信	htpidk 2 楼 LZ的结帖率是亮点。 2014-5-28 19:32 0
大长老雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	大长老 3 楼破解狗比较快吧 2014-5-28 20:22 0
Yecate 雪币： 149 活跃值： (2618) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 259 粉丝 6 关注私信	Yecate 4 楼 LZ的结帖率是亮点。 + 10086 2014-5-28 22:33 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 5 楼一般来说，就是运行跟踪了，记得先保存记录，再 CTRL+F11，高级一点就写个脚本（这个效果好） 2014-5-28 22:51 0
十年后雪币： 7906 活跃值： (3841) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 172 粉丝 0 关注私信	十年后 6 楼不知道脚本你写过吗？ 2014-5-30 08:01 0
wwwyz 雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wwwyz 7 楼设断点跟踪调试。 2014-5-30 08:39 0
十年后雪币： 7906 活跃值： (3841) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 172 粉丝 0 关注私信	十年后 8 楼有的狗也不是那么容易破的！ 2014-5-30 08:41 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 9 楼写过一个模拟运行，如果单纯的 var cmd var log_code mov log_code,"log_code.txt" wrt log_code," " loop: sti // 这样跟进 call 里面，但是会文件很大，sto 就步过了 call gci eip,COMMAND mov cmd,$RESULT eval "{eip} : {cmd} " wrta log_code,$RESULT // 把所有的指令和地址记录到文件夹下面的 log_code.txt 里面 jmp loop // 这种法子可以记录，但是效果就不好，太慢了，你必须把 OD 最小化，这样速度会快一些还不单止慢，还会容易给检测到，你要写个模拟执行的，呵呵最终效果： 4EE901 : PUSHFD 4EE902 : CLC 4EE903 : SUB ESP, 0x13 4EE906 : JMP SHORT vc6_mfc_.004EE88F 4EE88F : POP DWORD PTR [ESP+0x4] 4EE893 : MOV DWORD PTR [ESP+0x2], ESP 4EE897 : MOV BYTE PTR [ESP+0xB], BL 4EE89B : MOV BYTE PTR [ESP+0x5], DH 4EE89F : JMP SHORT vc6_mfc_.004EE8C6 4EE8C6 : SUB ESP, 0x15 4EE8C9 : PUSH WORD PTR [ESP+0xB] 4EE8CE : CALL vc6_mfc_.004EE8B0 2014-5-30 10:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复