-
-
[讨论]在脱Asprotect 1.2x-1.3x时遇到的一个现象
-
发表于:
2006-11-3 16:50
3541
-
[讨论]在脱Asprotect 1.2x-1.3x时遇到的一个现象
虽然脱壳成功了,但有一点在原理上还不是很清楚
现象是这样的:
(1)运行脱壳+IAT修复后的文件,贪出一个错误框,提出读0X010BB784地址时访问非法
(2)定位到错误语句
0065DC8E: call [667C24] ==> ( ds:[667c24] = 010BC784 )
而010BC784地址在脱壳后的文件中是不存在的
经过对原软件的分析,发现先CALL 到壳地址空间了,因为调试原软件发现在010BC784地方实际上CALL 到了当前的地址空间。
我就估计着,大概是与壳交互一下,验证下壳是否还存在。
所以修改一下CALL 的地址就解决问题了。
但我不明白的是,用LordPE DUMP 整个进程的时候,为什么会出现这种情况?
明明在原来的程序中010BC784这个地址是有内容的,而DUMP下来就没有了。
[课程]Android-CTF解题方法汇总!