-
-
[求助]内存映射某Priv段的size如何改变?
-
发表于:
2006-4-18 04:35
3776
-
用OD调试程序时,Alt-M命令可查看内存映射,在PE头所在段的上部(低地址段)包含了若干段,其中除堆栈在PE头有定义外,其它的段是在哪里定义的?依次是堆栈段,Map段,Priv段,Priv段...,在脱asprotect壳修复后,运行程序出错,指令 MOV EDX,DWORD PTR DS:[EDX+EAX*4-C]错,Alt-M命令查看内存映射,发现DS:[EDX+EAX*4-C]的位置不在内存映射范围,具体就是上面提到的"Map段,Priv段,Priv段.."中的第一个Priv段的size为600,而加壳程序运行到次的size为900(运行过程三次改变该size),我的想法是:走个捷径,如能在脱壳后的程序加入指令,强行改变该size为900,应该能解决指令
MOV EDX,DWORD PTR DS:[EDX+EAX*4-C]出错的问题,这个思路对吗?或着有更好的处理办法,哪位大侠快来指点一下。
[课程]FART 脱壳王!加量不加价!FART作者讲授!
