0x7600db0b 0x76017fce 错误 错误 0x7efde001 0x760171fe 错误 0x7efde001 0x76010c7a 0x76019dac 0x76019dac 0x7601460c 0x770554f9 0x569cf9 0x4b36a2 0x569cfb 0x7600926e 0x7601f54f 0x7601f54f 0x7601e331 0x75d3e4d1 0x75d3e4d1 0x76008e4e 0x77051245
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
采臣·宁 我的想法是,先遍历目标进程所有载入的DLL,再根据7600DB0B这个地址获取到底是哪个DLL的函数,减去DLL载入基址后,再找导出函数表。有现成的库,好象叫titan什么的。
白菜大哥 谢谢。但是又引出了新的问题,比如 push ebp mov ebp,esp这种,vmp会shadow掉前几句代码,很烦。。。
采臣·宁 我想了想,两种方法:一种是恢复push ebp; mov ebp,esp;修改为正确的函数地址。另一种是:反汇编所有的导出函数,再判断地址在哪个函数区间就行了。
采臣·宁 君子动口不动手,纸上谈兵我可以,用radare2脚本可以很快解决,例如判断下图中的 0x18000b7ef 地址是在哪个导出函数中:
采臣·宁 X64dbgPy插件,在python脚本中引入r2pipe包来获取函数名和地址。