修改系统程序notepad的AddressOfEntryPoint在od无法断下来-茶余饭后-看雪-安全社区|安全招聘|kanxue.com

mb_mvdsfamu 活跃值

2024-5-14 13:20

2009

问题描述：

我尝试修改系统自带的notepad程序的AddressOfEntryPoint，我加了4字节，让其oep在下一条汇编指令,结果我用x64DBG中打开该程序，无法在oep处断下来（直接运行不到oep）,最开始在ntdll的系统断点处断下来，然后运行到用户代码就抛异常了。

我调试了好久，搞不定，实在是找不到原因。没有修改AddressOfEntryPoint，能够正常在oep处断下来，也能够运行。

下图是我修改AddressOfEntryPoint后的，原本的AddressOfEntryPoint是0x23B60

下图是oep，原本的oep是sub rsp,0x28

下两张图是系统断点和我F8后直接在ntdll中抛异常了。

收藏・0

免费・0

支持

最新回复 (2)
mb_mvdsfamu 雪币： 32 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	mb_mvdsfamu 2 楼求求大佬们指点指点 2024-5-14 13:53 0
逆向爱好者雪币： 1365 活跃值： (4293) 能力值： ( LV3，RANK：20 ) 在线值：发帖 27 回帖 155 粉丝 19 关注私信	逆向爱好者 3 楼什么异常？ 2024-5-14 20:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

mb_mvdsfamu

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
mb_mvdsfamu 雪币： 32 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	mb_mvdsfamu 2 楼求求大佬们指点指点 2024-5-14 13:53 0
逆向爱好者雪币： 1365 活跃值： (4293) 能力值： ( LV3，RANK：20 ) 在线值：发帖 27 回帖 155 粉丝 19 关注私信	逆向爱好者 3 楼什么异常？ 2024-5-14 20:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复