欢迎使用并提改进建议:) 适用于最新版本的OllyHtml插件,脚本在插件菜单OllyHtml=>Scripts窗口里有链接。 基本原理: 方法一:二次内存断点 一次内存断点设在数据段,第二次设在代码段。 方法二:第N次异常+代码访问断点+模拟跟踪 1、忽略前N-1次异常,第N次异常时设代码访问断点并让程序处理异常; 2、代码访问断点断下后,如果不在OEP出现的代码段范围,则模拟手工跟踪, 在任何离开被调试模块前重设代码访问断点;如果断下时EIP已经是OEP搜索范围,则认为EIP是OEP; 方法三:第N次异常+模拟手工跟踪 基本上同方法二,但不使用代码访问断点,在EIP离开被调试模块后用alt+f9返回程序领空(好象不太好使,经常回不来,希望高手指点) 方法四:条件跟踪 就是用 tc eip<OEP范围结束地址 执行程序。 偶再传一份到本地:
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最初由 dreaman 发布欢迎使用并提改进建议:)适用于最新版本的OllyHtml插件,脚本在插件菜单OllyHtml=>Scripts窗口里有链接。基本原理:........