[原创]找寻OEP的通用方法（一）-最后一次异常法-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

r0Cat

2018-5-13 10:05

5769

壳代码有时主动抛出异常，比如利用异常处理机制做反调试。但是CODE段没有异常。所以最后一次异常距离真OEP应该很近了。

调试器：OD

环境：winXP SP3 虚拟机

首先要忽略所有异常，并且配置好反反调试。

F9运行后，点击L来到日志窗口。

这里面一定有一行：程序入口点，它是EP(entry point)，不是OEP(original entry point)，是带壳的入口点，这是程序最先开始执行的地方。

假设最后一次异常发生在40E88F

重新载入，这次我们不忽略异常，每次当执行到异常被断下时，都按下shift+f9手动忽略异常，直到断到最后一次发生在40e88f的异常。

在代码段设置内存访问断点，按下shift+f9，断到OEP。

注：考虑到过早在代码段设置内存执行断点，就可能被检测到。等到离OEP很近时下断就比较安全了。

最后于 2018-5-13 14:03 被r0Cat编辑，原因：

收藏・3

免费・1

支持

最新回复 (2)
chixiaojie 雪币： 3202 活跃值： (1917) 能力值： ( LV2，RANK：10 ) 在线值：发帖 91 回帖 1357 粉丝 2 关注私信	chixiaojie 2 楼懵逼了，新手完全不懂啊。 2018-5-13 11:05 0
r0Cat 雪币： 8715 活跃值： (8619) 能力值： ( LV13，RANK：570 ) 在线值：发帖 40 回帖 190 粉丝 186 关注私信	r0Cat 7 3 楼 chixiaojie 懵逼了，新手完全不懂啊。您可以看看坛主大大的文章https://bbs.pediy.com/thread-20366.htm 最后于 2018-5-13 11:10 被r0Cat编辑，原因： 2018-5-13 11:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

r0Cat

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
chixiaojie 雪币： 3202 活跃值： (1917) 能力值： ( LV2，RANK：10 ) 在线值：发帖 91 回帖 1357 粉丝 2 关注私信	chixiaojie 2 楼懵逼了，新手完全不懂啊。 2018-5-13 11:05 0
r0Cat 雪币： 8715 活跃值： (8619) 能力值： ( LV13，RANK：570 ) 在线值：发帖 40 回帖 190 粉丝 186 关注私信	r0Cat 7 3 楼 chixiaojie 懵逼了，新手完全不懂啊。您可以看看坛主大大的文章https://bbs.pediy.com/thread-20366.htm 最后于 2018-5-13 11:10 被r0Cat编辑，原因： 2018-5-13 11:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复