初学者见了Ollydbg-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
suolao 雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 36 粉丝 0 关注私信	suolao 2004-7-6 19:15 2 楼 0 怎么没人管牙??
ShineGood 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 1 关注私信	ShineGood 2004-7-6 19:39 3 楼 0 int3 只要一个字节 CC LOCK CMPXCHG8B EAX 有四个字节将第一个字节改为CC，后3个字节改为nop(90)就可以了
suolao 雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 36 粉丝 0 关注私信	suolao 2004-7-6 19:41 4 楼 0 nop(90)是什么意思?
suolao 雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 36 粉丝 0 关注私信	suolao 2004-7-6 19:47 5 楼 0 您是说把004FC74B的数据全部用 CC 替换掉？？ nop(90)是什么?
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2004-7-6 20:07 6 楼 0 0070A74B CC 0070A74C 909090 NOP 无操作
suolao 雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 36 粉丝 0 关注私信	suolao 2004-7-6 22:18 7 楼 0 谢谢fly 004FDFF4 MOV SS,BX ; 修正的段位寄存器 004FDFF6 PUSH 0 004FDFF8 JMP SHORT EXECrypt.004FDFFB (弄懂原因后，就在这里下硬件断点，到数据转存窗口按Ctrl-G:0012ff84然后在0012FF84处下硬件断点：硬件访问->Dword) 为什么要Ctrl-G:0012ff84?? 我这里的地址不一样这里就完全不懂了。数据窗口是哪个? 硬件断点和普通的断点有什么不同?
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2004-7-6 22:24 8 楼 0 你就在左下方的转存窗口里面CtrlG:0012ff84 就可以抵达0012ff84了另外：不要轻易在这里放目标程序附件会当作脱壳申请封杀的
suolao 雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 36 粉丝 0 关注私信	suolao 2004-7-6 22:45 9 楼 0 Thank fly to remind very much! 硬件断点和普通的断点有什么不同? 004FDFF4 MOV SS,BX ; 修正的段位寄存器 004FDFF6 PUSH 0 004FDFF8 JMP SHORT EXECrypt.004FDFFB (弄懂原因后，就在这里下硬件断点，到数据转存窗口按Ctrl-G:0012ff84然后在0012FF84处下硬件断点：硬件访问->Dword) 不知道当时tDasm是从什么地方得到0012ff84这个地址的?为什么要到这去？
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 2004-7-6 23:23 10 楼 0 硬件断点不修改代码普通的在代码插入CC来中断,不过调试器自动恢复,没有显示.
suolao 雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 36 粉丝 0 关注私信	suolao 2004-7-6 23:30 11 楼 0 004FDFF4 MOV SS,BX ; 修正的段位寄存器 004FDFF6 PUSH 0 004FDFF8 JMP SHORT EXECrypt.004FDFFB 弄懂原因后，就在这里下硬件断点??什么原因？修正了堆栈寄存器这里是不是堆栈的基地址被修改了？ PUSH 0 起了个什么作用？ JMP SHORT EXECrypt.004FDFFB 这个004FDFFB 是相对地址还是绝对地址?
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (10)
suolao 雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 36 粉丝 0 关注私信	suolao 2004-7-6 19:15 2 楼 0 怎么没人管牙??
ShineGood 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 1 关注私信	ShineGood 2004-7-6 19:39 3 楼 0 int3 只要一个字节 CC LOCK CMPXCHG8B EAX 有四个字节将第一个字节改为CC，后3个字节改为nop(90)就可以了
suolao 雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 36 粉丝 0 关注私信	suolao 2004-7-6 19:41 4 楼 0 nop(90)是什么意思?
suolao 雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 36 粉丝 0 关注私信	suolao 2004-7-6 19:47 5 楼 0 您是说把004FC74B的数据全部用 CC 替换掉？？ nop(90)是什么?
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2004-7-6 20:07 6 楼 0 0070A74B CC 0070A74C 909090 NOP 无操作
suolao 雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 36 粉丝 0 关注私信	suolao 2004-7-6 22:18 7 楼 0 谢谢fly 004FDFF4 MOV SS,BX ; 修正的段位寄存器 004FDFF6 PUSH 0 004FDFF8 JMP SHORT EXECrypt.004FDFFB (弄懂原因后，就在这里下硬件断点，到数据转存窗口按Ctrl-G:0012ff84然后在0012FF84处下硬件断点：硬件访问->Dword) 为什么要Ctrl-G:0012ff84?? 我这里的地址不一样这里就完全不懂了。数据窗口是哪个? 硬件断点和普通的断点有什么不同?
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2004-7-6 22:24 8 楼 0 你就在左下方的转存窗口里面CtrlG:0012ff84 就可以抵达0012ff84了另外：不要轻易在这里放目标程序附件会当作脱壳申请封杀的
suolao 雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 36 粉丝 0 关注私信	suolao 2004-7-6 22:45 9 楼 0 Thank fly to remind very much! 硬件断点和普通的断点有什么不同? 004FDFF4 MOV SS,BX ; 修正的段位寄存器 004FDFF6 PUSH 0 004FDFF8 JMP SHORT EXECrypt.004FDFFB (弄懂原因后，就在这里下硬件断点，到数据转存窗口按Ctrl-G:0012ff84然后在0012FF84处下硬件断点：硬件访问->Dword) 不知道当时tDasm是从什么地方得到0012ff84这个地址的?为什么要到这去？
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 2004-7-6 23:23 10 楼 0 硬件断点不修改代码普通的在代码插入CC来中断,不过调试器自动恢复,没有显示.
suolao 雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 36 粉丝 0 关注私信	suolao 2004-7-6 23:30 11 楼 0 004FDFF4 MOV SS,BX ; 修正的段位寄存器 004FDFF6 PUSH 0 004FDFF8 JMP SHORT EXECrypt.004FDFFB 弄懂原因后，就在这里下硬件断点??什么原因？修正了堆栈寄存器这里是不是堆栈的基地址被修改了？ PUSH 0 起了个什么作用？ JMP SHORT EXECrypt.004FDFFB 这个004FDFFB 是相对地址还是绝对地址?
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复