能力值:
(RANK:350 )
|
-
-
2 楼
如果是EXE文件,基地址用PE工具,如LordPE打开文件查看。
如果是DLL,可能会重定位。
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
如果是EXE文件,基地址用PE工具,如LordPE打开文件查看。
如果是DLL,可能会重定位。
---------------------------------------------------------------
坛主,DLL文件在OD中如何重定位??
我非常关心这个问题!
|
能力值:
(RANK:10 )
|
-
-
4 楼
00B7025C 55 push ebp ; 05007E67C //这里是OEP
00B7025D 8D6C4B 36 lea ebp, [ebx+ecx*2+36]
00B70261 52 push edx
00B70262 53 push ebx
00B70263 65:EB 01 jmp short 00B70267
00B70266 9A 568DB7B7 2B2>call far 2B2B:B7B78D56
00B7026D C12B F7 shr dword ptr [ebx], 0F7
00B70270 81EE FFFAB5E1 sub esi, E1B5FAFF
00B70276 BB 82CC4100 mov ebx, 41CC82
00B7027B BB 7A3F4900 mov ebx, 493F7A
00B70280 56 push esi
00B70281 81C3 B05223DC add ebx, DC2352B0
00B70287 5B pop ebx
00B70288 81F3 4DCF8A60 xor ebx, 608ACF4D
5007E67C-50000000以后用OD重新载入dump_.exe程序,可是程序的入口不是这里.
push ebp
lea ebp, [ebx+ecx*2+36]
push edx
push ebx
变成这样了:
5007E67C >- E9 DB1BAFB0 jmp 00B7025C
5007E681 3C A7 cmp al, 0A7
5007E683 BD CACD7C47 mov ebp, 477CCDCA
5007E688 58 pop eax
5007E689 - E9 70734D73 jmp C35559FE
5007E68E 84E7 test bh, ah
5007E690 DC25 BA76863D fsub qword ptr [3D8676BA]
5007E696 FD std
5007E697 A8 C0 test al, 0C0
5007E699 9C pushfd
5007E69A 027E 94 add bh, [esi-6C]
|
能力值:
(RANK:350 )
|
-
-
5 楼
最初由 shenluo 发布 如果是EXE文件,基地址用PE工具,如LordPE打开文件查看。 如果是DLL,可能会重定位。 --------------------------------------------------------------- 坛主,DLL文件在OD中如何重定位?? 我非常关心这个问题!
OD加载DLL后,AlT+M查看内存,就知这个DLL被映射到什么地址了。
有关重定位的知识查看PE格式资料。
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
学习一下。。。
|
|
|