-
-
跟实例学脱themida 1.1.1.0中dump region补壳代码遇到的问题
-
发表于:
2006-10-17 20:13
3909
-
跟实例学脱themida 1.1.1.0中dump region补壳代码遇到的问题
看到fly老大的贴子,讲的是蛮清楚了,于是也想试试。从头开始到oep处都很顺利。一直到要dump region补VM代码时,遇到了点问题:
首先,到OEP处,我的OD上的内存分布跟教程上讲的不一样
教程上为:
00CE0000 00004000 (16384.) 00CE0000
00CF0000 00002000 (8192.) 00CF0000
00D00000 00001000 (4096.) 00D00000
00D10000 00001000 (4096.) 00D10000
00D20000 00001000 (4096.) 00D20000
00D30000 00010000 (65536.) 00D30000
00D40000 00010000 (65536.) 00D40000
00D50000 00010000 (65536.) 00D50000
00D60000 00010000 (65536.) 00D60000
00D70000 00010000 (65536.) 00D70000
00D80000 00010000 (65536.) 00D80000
00D90000 00010000 (65536.) 00D90000
00DA0000 00010000 (65536.) 00DA0000
00DB0000 00001000 (4096.) 00DB0000
而我的OD上ALT+M看到的部分是:
00CC0000 00003000
00CD0000 00008000
00CE0000 00001000
00CF0000 00001000
00D00000 00004000
00D10000 00002000
00D20000 00001000
00D30000 00001000
00D40000 00001000
00D50000 00010000
00D60000 00010000
00D70000 00010000
00D80000 00010000
00D90000 00010000
00DA0000 00010000
00DB0000 00010000
00DC0000 00010000
00DD0000 00001000
00DE0000 00118000
比如按教程上所讲的要dump的区域为:
00CF0000-00CF2000.dmp
00D00000-00D01000.dmp
00D10000-00D11000.dmp
00D20000-00D21000.dmp
00D30000-00DB1000.dmp
那么在我的机子上,00cf1000-00cf2000这个区域是不可访问的,那我要怎么dump呢??
还有就是要修正那个Voffset,是只要减去00400000吗??
[课程]Android-CTF解题方法汇总!
