能力值:
(RANK:350 )
|
-
-
2 楼
最初由 kitty 发布 http://rr263.com/down/baidu_Setup.exe 安装后,主程序未运行,在ollydbg装入能拦住,一运行后ollydbg什么断点都不能拦,你能不能帮我找出那反ollydbg的地方
百度贴吧发贴机?从你所给你的象一个安装程序,安装过程会不会捆绑流氓软件?
另外,如果要交流的话,建议你先给出自己的一些分析过程,例如你用PEID查过是否有壳等。
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
没有捆绑流氓软件
我也脱过壳
就是在程序运行之后,不能在ollydbg下断,在w32dasm下也拦不了
找exit这类的有关函数,反向跟了几下,由于太莱,没能找出判断反ollydbg的地方
想请各太虾请教
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
送了一段堆栈内容,
在0012FF94 004042EF 返回到 post.004042EF 来自 <jmp.&KERNEL32.ExitProcess>
这个位置跟了一下,请教各位在那个位置是最重要的
0012FEC4 77F6D5C8 ntdll.77F6D5C8
0012FEC8 00000000
0012FECC 77F5166A 返回到 ntdll.77F5166A 来自 ntdll.77F78C4E
0012FED0 77F5268E 返回到 ntdll.77F5268E 来自 ntdll.RtlFreeHeap
0012FED4 77F526A9 返回到 ntdll.77F526A9 来自 ntdll.RtlLeaveCriticalSection
0012FED8 77FC30E0 ntdll.77FC30E0
0012FEDC 77F5269C 返回到 ntdll.77F5269C 来自 ntdll.77F78C4E
0012FEE0 001445C8
0012FEE4 001445A8
0012FEE8 005045CC post.005045CC
0012FEEC 7FFDE000
0012FEF0 0012FEE0
0012FEF4 77F6D5C8 ntdll.77F6D5C8
0012FEF8 0012FF3C
0012FEFC 77F79005 ntdll.77F79005
0012FF00 77F6D680 ntdll.77F6D680
0012FF04 FFFFFFFF
0012FF08 77F5269C 返回到 ntdll.77F5269C 来自 ntdll.77F78C4E
0012FF0C 77F52631 返回到 ntdll.77F52631 来自 ntdll.77F52645
0012FF10 77F52642 返回到 ntdll.77F52642 来自 ntdll.77F78C4E
0012FF14 00504638 post.00504638
0012FF18 004FF008 post.004FF008
0012FF1C 005045EC post.005045EC
0012FF20 00144578
0012FF24 00145FA0
0012FF28 001445B0
0012FF2C 001445A8
0012FF30 00000000
0012FF34 0012FF14 ASCII "8FP"
0012FF38 77E74809 kernel32.77E74809
0012FF3C 0012FF68
0012FF40 77F79005 ntdll.77F79005
0012FF44 77F6D690 ntdll.77F6D690
0012FF48 FFFFFFFF
0012FF4C 77F52642 返回到 ntdll.77F52642 来自 ntdll.77F78C4E
0012FF50 00401CC9 返回到 post.00401CC9 来自 <jmp.&KERNEL32.DeleteCriticalSection>
0012FF54 005045CC post.005045CC
0012FF58 00401CD1 post.00401CD1
0012FF5C 00000001
0012FF60 00000000
0012FF64 0012FE94
0012FF68 00504048 post.00504048
0012FF6C 0012FFE0 指针到下一个 SEH 记录
0012FF70 77E74809 SE 句柄
0012FF74 77E63A30 kernel32.77E63A30
0012FF78 00000000
0012FF7C /0012FF90
0012FF80 |77E5990F 返回到 kernel32.77E5990F 来自 kernel32.77E59895
0012FF84 |00000000
0012FF88 |77E8F3B0 kernel32.77E8F3B0
0012FF8C |FFFFFFFF
0012FF90 \00408968 post.00408968
0012FF94 004042EF 返回到 post.004042EF 来自 <jmp.&KERNEL32.ExitProcess>
0012FF98 00000000
0012FF9C /0012FFC0
0012FFA0 |77F517E6 返回到 ntdll.77F517E6 来自 ntdll.77F78C4E
0012FFA4 |77F51778 返回到 ntdll.77F51778 来自 ntdll.77F517B5
0012FFA8 |7FFDF000
0012FFAC |004FF4BE 返回到 post.004FF4BE 来自 post.00404230
0012FFB0 |77F764A6 返回到 ntdll.77F764A6
0012FFB4 |0012FFE0
0012FFB8 |00403EA4 post.00403EA4
0012FFBC |0012FFC0
0012FFC0 \0012FFF0
0012FFC4 77E614C7 返回到 kernel32.77E614C7
0012FFC8 77F517E6 返回到 ntdll.77F517E6 来自 ntdll.77F78C4E
0012FFCC 77F51778 返回到 ntdll.77F51778 来自 ntdll.77F517B5
0012FFD0 7FFDF000
0012FFD4 C03D80C0
0012FFD8 0012FFC8
0012FFDC 8053D685
0012FFE0 FFFFFFFF SEH 链尾部
0012FFE4 77E74809 SE 句柄
0012FFE8 77E71210 kernel32.77E71210
0012FFEC 00000000
0012FFF0 00000000
0012FFF4 00000000
0012FFF8 004FF450 post.<ModuleEntryPoint>
|
|
|