能力值:
(RANK:350 )
|
-
-
2 楼
你先跟踪一下程序,看看出现错误对话框 是不是自校验引起的。
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
用OD载入脱壳后的程序,第一次停下来的地方我发现就是我开始用importsec设置的OEP,但是代码却是add byte ptr ds:[eax], al,而且很明显这个不是入口,因为上下很多行都是这条语句。难道是我的OEP找错了?可是我是跟人家的例子照做的,OEP应该没错。只不过那个例子没有详细将用ImportREC之后的事,可能觉得很容易吧,可对我这个菜鸟来说,遇到这种问题,还是不知道如何下手。请哪位知道的兄台指点一下!
|
能力值:
( LV12,RANK:980 )
|
-
-
4 楼
可能是入口代码被偷。
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
01230417 A3 40044100 mov dword ptr ds:[410440],eax
0123041C 33F6 xor esi,esi
0123041E E9 7D0D0000 jmp 012311A0
01230423 83C4 04 add esp,4
01230426 68 B1042301 push 12304B1
0123042B E8 D0FB0500 call 01290000
01230430 33DB xor ebx,ebx
01230432 E9 792B0000 jmp 01232FB0
01230437 B8 32284600 mov eax,462832
0123043C 65:EB 01 jmp short 01230440
0123043F 9A B8B8F547 00FF call far FF00:47F5B8B8
01230446 3383 C8893344 xor eax,dword ptr ds:[ebx+443389C8]
0123044C 24 28 and al,28
0123044E 58 pop eax
0123044F E9 AC080000 jmp 01230D00
01230454 8D86 00010000 lea eax,dword ptr ds:[esi+100]
0123045A E8 A1FB0500 call 01290000
0123045F F7D8 neg eax
01230461 E9 7C160000 jmp 01231AE2
01230466 85C0 test eax,eax
01230468 E8 93FB0500 call 01290000
0123046D 0F85 B60F0000 jnz 01231429
01230473 E9 790A0000 jmp 01230EF1
01230478 57 push edi
01230479 8965 E8 mov dword ptr ss:[ebp-18],esp
0123047C FF15 6CB04000 call dword ptr ds:[40B06C] ; kernel32.GetVersion
01230482 33D2 xor edx,edx
01230484 8AD4 mov dl,ah
01230486 8915 4C044100 mov dword ptr ds:[41044C],edx
0123048C 334C24 28 xor ecx,dword ptr ss:[esp+28]
01230490 83D9 41 sbb ecx,41
01230493 50 push eax
能否帮我看下OEP在什么地方?我是按大侠们说的在GetVersion函数中下断,然后刚出来,现在在01230482处
|
能力值:
( LV6,RANK:90 )
|
-
-
6 楼
OEP被偷了
|
|
|