首页
社区
课程
招聘
未解决 [求助]使用2次内存断点法寻找OEP程序异常终止
发表于: 2019-3-22 11:34 1830

未解决 [求助]使用2次内存断点法寻找OEP程序异常终止

2019-3-22 11:34
1830
在学习《加密解密》过程中,使用2次内存断点法寻找OEP,结果程序异常终止了,哪位大佬帮忙看下原因。
测试环境:32位XP虚拟机。
测试程序:简单的一个记事本小程序,DxPack壳。
步骤1:查壳截图:

步骤2:OD内打开,切换到内存窗口,使用2次内存断点法先对data段下断:
因为内存窗口中下F2,是下内存断点,所以这里选择图中所示。
下断后F9程序会被中断在如下位置:0040D3BC    8A06            mov al,byte ptr ds:[esi]。 
步骤3:接着对代码断下F2内存断点,F9运行起来程序就被终止掉 了。

check:
1.使用不同OD测试,结果一致,异常都是一样的。都是在第二次下断的时候程序会被终止掉。
2.第二次测试下断点,我选择了“设置内存访问断点(A)”来下断,结果成功找到了OEP。

问题来了,问了度娘上很多教程(包括加密解密4),下内存断点的时候都是在内存窗口下F2就好 了。这个程序为何常规的下F2访问内存断点会被异常终止掉,下 “设置内存访问断点(A)”
却成功了。这2个下断方式有什么不同吗。
楼主也试过换别的程序,2个下断方式都断在了一个位置,都成功了,唯独这个程序出现了莫名其妙的终止信息。论坛有早期的帖子提过,内存断点分访问,写入读取三种,一般在内存窗口里下F2算是访问断点的话,跟下面一个下断有什么区别呢



[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 996
活跃值: (221)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
搞了2天,终于理解了问题出在哪里。一般程序默认解压顺序是先资源段,最后是代码段。我先开始断在了数据段,导致访问数据的时候断下来了,可能还有一些没解压完全的。
2019-3-23 15:22
0
游客
登录 | 注册 方可回帖
返回
//