[求助]关于壳的基地址.-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
kanxue 雪币： 44229 活跃值： (19965) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 2 楼如果是EXE文件，基地址用PE工具，如LordPE打开文件查看。如果是DLL，可能会重定位。 2006-7-27 09:49 0
shenluo 雪币： 182 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	shenluo 3 楼如果是EXE文件，基地址用PE工具，如LordPE打开文件查看。如果是DLL，可能会重定位。 --------------------------------------------------------------- 坛主，DLL文件在OD中如何重定位？？我非常关心这个问题！ 2006-7-27 14:59 0
大彻大悟雪币： 0 能力值： (RANK：10 ) 在线值：发帖 23 回帖 163 粉丝 0 关注私信	大彻大悟 4 楼 00B7025C 55 push ebp ; 05007E67C //这里是OEP 00B7025D 8D6C4B 36 lea ebp, [ebx+ecx2+36] 00B70261 52 push edx 00B70262 53 push ebx 00B70263 65:EB 01 jmp short 00B70267 00B70266 9A 568DB7B7 2B2>call far 2B2B:B7B78D56 00B7026D C12B F7 shr dword ptr [ebx], 0F7 00B70270 81EE FFFAB5E1 sub esi, E1B5FAFF 00B70276 BB 82CC4100 mov ebx, 41CC82 00B7027B BB 7A3F4900 mov ebx, 493F7A 00B70280 56 push esi 00B70281 81C3 B05223DC add ebx, DC2352B0 00B70287 5B pop ebx 00B70288 81F3 4DCF8A60 xor ebx, 608ACF4D 5007E67C-50000000以后用OD重新载入dump_.exe程序，可是程序的入口不是这里． push ebp lea ebp, [ebx+ecx2+36] push edx push ebx 变成这样了： 5007E67C >- E9 DB1BAFB0 jmp 00B7025C 5007E681 3C A7 cmp al, 0A7 5007E683 BD CACD7C47 mov ebp, 477CCDCA 5007E688 58 pop eax 5007E689 - E9 70734D73 jmp C35559FE 5007E68E 84E7 test bh, ah 5007E690 DC25 BA76863D fsub qword ptr [3D8676BA] 5007E696 FD std 5007E697 A8 C0 test al, 0C0 5007E699 9C pushfd 5007E69A 027E 94 add bh, [esi-6C] 2006-7-27 16:05 0
kanxue 雪币： 44229 活跃值： (19965) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 5 楼最初由 shenluo* 发布* 如果是EXE文件，基地址用PE工具，如LordPE打开文件查看。如果是DLL，可能会重定位。 --------------------------------------------------------------- 坛主，DLL文件在OD中如何重定位？？我非常关心这个问题！ OD加载DLL后，AlT+M查看内存，就知这个DLL被映射到什么地址了。有关重定位的知识查看PE格式资料。 2006-7-27 20:54 0
kxsnowon 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	kxsnowon 6 楼学习一下。。。 2006-7-28 14:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
kanxue 雪币： 44229 活跃值： (19965) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 2 楼如果是EXE文件，基地址用PE工具，如LordPE打开文件查看。如果是DLL，可能会重定位。 2006-7-27 09:49 0
shenluo 雪币： 182 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	shenluo 3 楼如果是EXE文件，基地址用PE工具，如LordPE打开文件查看。如果是DLL，可能会重定位。 --------------------------------------------------------------- 坛主，DLL文件在OD中如何重定位？？我非常关心这个问题！ 2006-7-27 14:59 0
大彻大悟雪币： 0 能力值： (RANK：10 ) 在线值：发帖 23 回帖 163 粉丝 0 关注私信	大彻大悟 4 楼 00B7025C 55 push ebp ; 05007E67C //这里是OEP 00B7025D 8D6C4B 36 lea ebp, [ebx+ecx2+36] 00B70261 52 push edx 00B70262 53 push ebx 00B70263 65:EB 01 jmp short 00B70267 00B70266 9A 568DB7B7 2B2>call far 2B2B:B7B78D56 00B7026D C12B F7 shr dword ptr [ebx], 0F7 00B70270 81EE FFFAB5E1 sub esi, E1B5FAFF 00B70276 BB 82CC4100 mov ebx, 41CC82 00B7027B BB 7A3F4900 mov ebx, 493F7A 00B70280 56 push esi 00B70281 81C3 B05223DC add ebx, DC2352B0 00B70287 5B pop ebx 00B70288 81F3 4DCF8A60 xor ebx, 608ACF4D 5007E67C-50000000以后用OD重新载入dump_.exe程序，可是程序的入口不是这里． push ebp lea ebp, [ebx+ecx2+36] push edx push ebx 变成这样了： 5007E67C >- E9 DB1BAFB0 jmp 00B7025C 5007E681 3C A7 cmp al, 0A7 5007E683 BD CACD7C47 mov ebp, 477CCDCA 5007E688 58 pop eax 5007E689 - E9 70734D73 jmp C35559FE 5007E68E 84E7 test bh, ah 5007E690 DC25 BA76863D fsub qword ptr [3D8676BA] 5007E696 FD std 5007E697 A8 C0 test al, 0C0 5007E699 9C pushfd 5007E69A 027E 94 add bh, [esi-6C] 2006-7-27 16:05 0
kanxue 雪币： 44229 活跃值： (19965) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 5 楼最初由 shenluo* 发布* 如果是EXE文件，基地址用PE工具，如LordPE打开文件查看。如果是DLL，可能会重定位。 --------------------------------------------------------------- 坛主，DLL文件在OD中如何重定位？？我非常关心这个问题！ OD加载DLL后，AlT+M查看内存，就知这个DLL被映射到什么地址了。有关重定位的知识查看PE格式资料。 2006-7-27 20:54 0
kxsnowon 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	kxsnowon 6 楼学习一下。。。 2006-7-28 14:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复