-
-
未解决 [求助]使用2次内存断点法寻找OEP程序异常终止
-
发表于: 2019-3-22 11:34
-
在学习《加密解密》过程中,使用2次内存断点法寻找OEP,结果程序异常终止了,哪位大佬帮忙看下原因。
测试环境:32位XP虚拟机。
测试程序:简单的一个记事本小程序,DxPack壳。
步骤1:查壳截图:
步骤2:OD内打开,切换到内存窗口,使用2次内存断点法先对data段下断:
因为内存窗口中下F2,是下内存断点,所以这里选择图中所示。
下断后F9程序会被中断在如下位置:0040D3BC 8A06 mov al,byte ptr ds:[esi]。
步骤3:接着对代码断下F2内存断点,F9运行起来程序就被终止掉 了。
check:
1.使用不同OD测试,结果一致,异常都是一样的。都是在第二次下断的时候程序会被终止掉。
2.第二次测试下断点,我选择了“设置内存访问断点(A)”来下断,结果成功找到了OEP。
问题来了,问了度娘上很多教程(包括加密解密4),下内存断点的时候都是在内存窗口下F2就好 了。这个程序为何常规的下F2访问内存断点会被异常终止掉,下 “设置内存访问断点(A)”
却成功了。这2个下断方式有什么不同吗。
楼主也试过换别的程序,2个下断方式都断在了一个位置,都成功了,唯独这个程序出现了莫名其妙的终止信息。论坛有早期的帖子提过,内存断点分访问,写入读取三种,一般在内存窗口里下F2算是访问断点的话,跟下面一个下断有什么区别呢
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
