[已解决]新手学脱壳，使用ESP定律，为啥找到的OEP不对呢？想不明白-求助问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
htpidk 雪币： 6691 活跃值： (3315) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 281 粉丝 1 关注私信	htpidk 2023-8-12 12:42 2 楼 1 起始地址填加载后的模块地址不是400000，脱完壳把ASLR去掉就可以了，脱完壳后下messagebox和winexec还有shellexecute断点就都搞定了最后于 2023-8-12 13:12 被htpidk编辑，原因：上传的附件：脱壳去弹窗去广告.rar （11.29kb，6次下载）
wjzhhr 雪币： 230 活跃值： (429) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 169 粉丝 0 关注私信	wjzhhr 2023-8-12 14:44 3 楼 0 htpidk 起始地址填加载后的模块地址不是400000，脱完壳把ASLR去掉就可以了，脱完壳后下messagebox和winexec还有shellexecute断点就都搞定了大兄弟，可否再讲仔细一点？我分析的过程是没问题的，只是脱壳的界面，起始地址填写错误了？
htpidk 雪币： 6691 活跃值： (3315) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 281 粉丝 1 关注私信	htpidk 2023-8-12 16:02 4 楼 0 wjzhhr 大兄弟，可否再讲仔细一点？我分析的过程是没问题的，只是脱壳的界面，起始地址填写错误了？程序有ASLR，不是一直加载在400000位置，需要根据当时加载的主模块地址来填写
wjzhhr 雪币： 230 活跃值： (429) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 169 粉丝 0 关注私信	wjzhhr 2023-8-13 10:17 5 楼 0 htpidk 程序有ASLR，不是一直加载在400000位置，需要根据当时加载的主模块地址来填写多谢兄弟帮忙，应该是先去ASLR或者直接在XP系统下调试即可。
wjzhhr 雪币： 230 活跃值： (429) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 169 粉丝 0 关注私信	wjzhhr 2023-8-14 15:18 6 楼 0 htpidk 起始地址填加载后的模块地址不是400000，脱完壳把ASLR去掉就可以了，脱完壳后下messagebox和winexec还有shellexecute断点就都搞定了你好，@htpidk，我已经完成了这个作业的大部分功能，只剩下最后一个无法完成：现象：用附件里的这个exe文件，正常打开，等40秒会跳转到 http://www.52pojie.cn/forum-68-1.html 页面，但用od打开后，死活不会跳，字符串搜索也找不到相关字符串，设置的断点也跳转不到（也有可能设置错断点了^_^）。我已经去掉了ASLR，可否指点下小弟，如何断下这个要等40秒才执行的断点？？路过的高手也可以试下。上传的附件： 2ke-demo_1_2_2_3.7z （10.15kb，1次下载）
htpidk 雪币： 6691 活跃值： (3315) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 281 粉丝 1 关注私信	htpidk 2023-8-14 18:51 7 楼 0 wjzhhr 你好，@htpidk，我已经完成了这个作业的大部分功能，只剩下最后一个无法完成：现象：用附件里的这个exe文件，正常打开，等40秒会跳转到 http://www.52pojie.cn ... 线程启动的，把B11290处的函数头retn就行了
wjzhhr 雪币： 230 活跃值： (429) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 169 粉丝 0 关注私信	wjzhhr 2023-8-15 10:32 8 楼 0 @htpidk，请问这个可以一次性脱壳成功，不用修复IAT？但另外一个https://bbs.kanxue.com/thread-278327-1.htm#1750986为啥不能一次性脱壳成功？一样的步骤，难道还有什么玄机？新手学习，很多东西无从知晓，只能先实践，望各位高手多多赐教。
htpidk 雪币： 6691 活跃值： (3315) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 281 粉丝 1 关注私信	htpidk 2023-8-15 12:15 9 楼 0 wjzhhr @htpidk，请问这个可以一次性脱壳成功，不用修复IAT？但另外一个https://bbs.kanxue.com/thread-278327-1.htm#1750986为啥不能一次性脱壳成功？一样 ... 都要修复IAT，OD里脱壳的时候下面已经默认选择修复了，只不过只能修复比较简单的壳，如果OD里修复失败了就要用另外一个叫啥importrec还是啥名的工具来修复
wjzhhr 雪币： 230 活跃值： (429) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 169 粉丝 0 关注私信	wjzhhr 2023-8-15 15:37 10 楼 0 @htpidk，原来如此，多谢告知。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (9)
htpidk 雪币： 6691 活跃值： (3315) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 281 粉丝 1 关注私信	htpidk 2023-8-12 12:42 2 楼 1 起始地址填加载后的模块地址不是400000，脱完壳把ASLR去掉就可以了，脱完壳后下messagebox和winexec还有shellexecute断点就都搞定了最后于 2023-8-12 13:12 被htpidk编辑，原因：上传的附件：脱壳去弹窗去广告.rar （11.29kb，6次下载）
wjzhhr 雪币： 230 活跃值： (429) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 169 粉丝 0 关注私信	wjzhhr 2023-8-12 14:44 3 楼 0 htpidk 起始地址填加载后的模块地址不是400000，脱完壳把ASLR去掉就可以了，脱完壳后下messagebox和winexec还有shellexecute断点就都搞定了大兄弟，可否再讲仔细一点？我分析的过程是没问题的，只是脱壳的界面，起始地址填写错误了？
htpidk 雪币： 6691 活跃值： (3315) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 281 粉丝 1 关注私信	htpidk 2023-8-12 16:02 4 楼 0 wjzhhr 大兄弟，可否再讲仔细一点？我分析的过程是没问题的，只是脱壳的界面，起始地址填写错误了？程序有ASLR，不是一直加载在400000位置，需要根据当时加载的主模块地址来填写
wjzhhr 雪币： 230 活跃值： (429) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 169 粉丝 0 关注私信	wjzhhr 2023-8-13 10:17 5 楼 0 htpidk 程序有ASLR，不是一直加载在400000位置，需要根据当时加载的主模块地址来填写多谢兄弟帮忙，应该是先去ASLR或者直接在XP系统下调试即可。
wjzhhr 雪币： 230 活跃值： (429) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 169 粉丝 0 关注私信	wjzhhr 2023-8-14 15:18 6 楼 0 htpidk 起始地址填加载后的模块地址不是400000，脱完壳把ASLR去掉就可以了，脱完壳后下messagebox和winexec还有shellexecute断点就都搞定了你好，@htpidk，我已经完成了这个作业的大部分功能，只剩下最后一个无法完成：现象：用附件里的这个exe文件，正常打开，等40秒会跳转到 http://www.52pojie.cn/forum-68-1.html 页面，但用od打开后，死活不会跳，字符串搜索也找不到相关字符串，设置的断点也跳转不到（也有可能设置错断点了^_^）。我已经去掉了ASLR，可否指点下小弟，如何断下这个要等40秒才执行的断点？？路过的高手也可以试下。上传的附件： 2ke-demo_1_2_2_3.7z （10.15kb，1次下载）
htpidk 雪币： 6691 活跃值： (3315) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 281 粉丝 1 关注私信	htpidk 2023-8-14 18:51 7 楼 0 wjzhhr 你好，@htpidk，我已经完成了这个作业的大部分功能，只剩下最后一个无法完成：现象：用附件里的这个exe文件，正常打开，等40秒会跳转到 http://www.52pojie.cn ... 线程启动的，把B11290处的函数头retn就行了
wjzhhr 雪币： 230 活跃值： (429) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 169 粉丝 0 关注私信	wjzhhr 2023-8-15 10:32 8 楼 0 @htpidk，请问这个可以一次性脱壳成功，不用修复IAT？但另外一个https://bbs.kanxue.com/thread-278327-1.htm#1750986为啥不能一次性脱壳成功？一样的步骤，难道还有什么玄机？新手学习，很多东西无从知晓，只能先实践，望各位高手多多赐教。
htpidk 雪币： 6691 活跃值： (3315) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 281 粉丝 1 关注私信	htpidk 2023-8-15 12:15 9 楼 0 wjzhhr @htpidk，请问这个可以一次性脱壳成功，不用修复IAT？但另外一个https://bbs.kanxue.com/thread-278327-1.htm#1750986为啥不能一次性脱壳成功？一样 ... 都要修复IAT，OD里脱壳的时候下面已经默认选择修复了，只不过只能修复比较简单的壳，如果OD里修复失败了就要用另外一个叫啥importrec还是啥名的工具来修复
wjzhhr 雪币： 230 活跃值： (429) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 169 粉丝 0 关注私信	wjzhhr 2023-8-15 15:37 10 楼 0 @htpidk，原来如此，多谢告知。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复