用PEiD检查为PECompact 1.68 - 1.84 - Jeremy Collake加壳。
7359A000 m> /EB 06 jmp short msvbvm60.7359A008
7359A002 |68 E81A0000 push 1AE8
7359A007 |C3 retn
7359A008 \9C pushfd
7359A009 60 pushad
7359A00A E8 02000000 call msvbvm60.7359A011
7359A00F 33C0 xor eax,eax
7359A011 8BC4 mov eax,esp
7359A013 83C0 04 add eax,4
7359A016 93 xchg eax,ebx
7359A017 8BE3 mov esp,ebx
7359A019 8B5B FC mov ebx,dword ptr ds:[ebx-4]
7359A01C 81EB 3F904000 sub ebx,40903F
7359A022 87DD xchg ebp,ebx
7359A024 8B85 E6904000 mov eax,dword ptr ss:[ebp+4090E6]
看FLY的教程里的下的断是
因为这个东东是PECompact 2.0以前的版本加壳,所以OEP很好找,壳入口的第2条指令PUSH的就是OEP的RVA地址。
OEP=10000000 + 9690=10009690
直接在10009690处下 硬件执行 断点,或者下内存断点,F9运行就中断在OEP了。
可是我下70000000+1AE8=未知地址,下73591AE8断不下来请高手教教.
还有一个问题为什么用OD加载运行程序时,会加载到某个DLL文件当中去了
[课程]Linux pwn 探索篇!