首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]aspr补区段的问题
发表于: 2006-8-26 17:26 4143

[求助]aspr补区段的问题

simpleboy 活跃值
2006-8-26 17:26
4143
我用大侠们的脚本找到被偷OEP的开始地方,我用loadPEdump下来并修复了IAT.现在到了补区段,但是我怎么知道内存中哪些区段对程序有用呢?这个问题我怎么也解决不了,就卡在这里了,希望大侠们帮我一下啦!~

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
免费 0
支持
分享
最新回复 (9)
kangaroo
雪    币: 264
活跃值: (30)
能力值: ( LV12,RANK:250 )
在线值:
发帖
回帖
粉丝
私信
2
http://bbs.pediy.com/showthread.php?s=&threadid=30612
2006-8-26 17:36
0
simpleboy
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
是不是在OEP那打开内存?再在每个区段上下断?
2006-8-26 17:42
0
kangaroo
雪    币: 264
活跃值: (30)
能力值: ( LV12,RANK:250 )
在线值:
发帖
回帖
粉丝
私信
4
在stolen oep处,也就是脚本停在那里处
2006-8-26 17:43
0
simpleboy
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
对vm全部下段,哪些是vm?
2006-8-26 17:55
0
simpleboy
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
015C0000
01690000
00E20000
00E70000
00E9C000
01410000
013E0000
01400000
01420000
013F0000
013B0000
013D0000
013C0000
016A0000
015E0000
00F70000
015D0000
00F80000
01610000
01600000
015F0000
01680000
01660000
01670000
016B0000
01360000
01330000
01350000
我定位出这么多,是不是有问题啊?
01370000
01340000
01300000
01310000
01320000
01640000
2006-8-26 18:07
0
kangaroo
雪    币: 264
活跃值: (30)
能力值: ( LV12,RANK:250 )
在线值:
发帖
回帖
粉丝
私信
7
晕!!
模拟api就不要下断了
2006-8-26 18:11
0
simpleboy
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
大哥,可以教我怎么区分哪些应该下断,哪些不应该下断呢?
2006-8-26 20:27
0
logkiller
雪    币: 7906
活跃值: (3086)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
我和楼上的疑问一样。。。
2006-8-27 00:31
0
logkiller
雪    币: 7906
活跃值: (3086)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
比如:内存映射
地址       大小       属主       区段       包含          类型               访问      初始访问  已映射为
00010000   00001000                                       Priv 00021004      RW        RW
00020000   00001000                                       Priv 00021004      RW        RW
0012B000   00001000                                       Priv 00021104      RW  保护    RW
0012C000   00004000                         堆栈 于 主线       Priv 00021104      RW  保护    RW
00130000   00001000                                       Map  00041002      R         R
00140000   00005000                                       Priv 00021004      RW        RW
00240000   00006000                                       Priv 00021004      RW        RW
00250000   00001000                                       Map  00041004      RW        RW
00260000   00016000                                       Map  00041002      R         R         \Device\HarddiskVolume1\WINDOWS\system32\unicode.nls
00280000   00034000                                       Map  00041002      R         R         \Device\HarddiskVolume1\WINDOWS\system32\locale.nls
002C0000   00041000                                       Map  00041002      R         R         \Device\HarddiskVolume1\WINDOWS\system32\sortkey.nls
00310000   00006000                                       Map  00041002      R         R         \Device\HarddiskVolume1\WINDOWS\system32\sorttbls.nls
00320000   00041000                                       Map  00041002      R         R
00370000   00008000                                       Priv 00021004      RW        RW
00380000   00001000                                       Priv 00021004      RW        RW
00390000   00001000                                       Priv 00021004      RW        RW
003A0000   00004000                                       Priv 00021004      RW        RW
003B0000   00003000                                       Map  00041002      R         R         \Device\HarddiskVolume1\WINDOWS\system32\ctype.nls
003C0000   00002000                                       Map  00041002      R         R
003E0000   00002000                                       Map  00041002      R         R
00400000   00001000   YBJHFRM1              PE 文件头        Imag 01001002      R         RWE
00401000   000E0000   YBJHFRM1              代码            Imag 01001002      R         RWE
004E1000   0008B000   YBJHFRM1              数据            Imag 01001002      R         RWE
0056C000   0000C000   YBJHFRM1                            Imag 01001002      R         RWE
00578000   00003000   YBJHFRM1                            Imag 01001002      R         RWE
0057B000   00001000   YBJHFRM1                            Imag 01001002      R         RWE
0057C000   00001000   YBJHFRM1                            Imag 01001002      R         RWE
0057D000   00001000   YBJHFRM1                            Imag 01001002      R         RWE
0057E000   0000E000   YBJHFRM1                            Imag 01001002      R         RWE
0058C000   00009000   YBJHFRM1   .rsrc      资源            Imag 01001002      R         RWE
00595000   0002F000   YBJHFRM1   .data      输入表,重定  之类的那些该断?
2006-8-27 00:39
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//