看设的同一个断点位置,每次载入,地址都变了,这是加了混淆吗?原文件检测过,无壳,C++编写。
另:原文件能正常运行,但在OD内运行就会退出,应该是加了检测,用插件隐藏OD都没用,有什么其他办法?
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
yeyeyesO 关闭动态基址
用CFF Explorer编辑搞定,这样每次不会变了。
OD内运行就会退出,用插件隐藏OD也没用,谁有其他办法?
关闭 ASLR
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"MoveImages" =dword:00000000
"MoveImages"
=dword:00000000
鸭子咯咯哒 如果用这个动态基址,那是不是就没有内存外挂了?
想太多,常规的getmodulehandle或createtoolhelp32snapshot都可以得到模块基址,更别说其他非常规方法了