首页
社区
课程
招聘
[讨论]如果我在GetMessageW函数下断。。。
发表于: 2006-11-7 18:29 6017

[讨论]如果我在GetMessageW函数下断。。。

2006-11-7 18:29
6017
如果我在GetMessageW函数下个断点,第一次断下来的时候,函数返回地址是不是离OEP不远呢?

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
2
未必
不是每个程序的OEP后面都有GetMessageW吧
2006-11-7 18:32
0
雪    币: 1316
活跃值: (512)
能力值: ( LV12,RANK:450 )
在线值:
发帖
回帖
粉丝
3
假设是带窗口的程序,GetMessasgeW断下来了,查调用栈最顶上的那个EIP,是不是在OEP附近呢,带窗口的程序总得有个消息循环吧(我是假设断在一个构造消息循环的函数入口,不一定就是GetMessageW),而这个消息循环的代码总是由程序入口执行过去的吧(不会是新开线程或者由系统回调的,所以栈里头有足够的信息),VB或其它由运行库解释的程序不算,呵呵。
2006-11-7 18:41
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
4
一般根据各编译语言的特征找OEP就行了
找OEP一般不难,难的是某些代码被抽取后的恢复
2006-11-7 19:40
0
雪    币: 1316
活跃值: (512)
能力值: ( LV12,RANK:450 )
在线值:
发帖
回帖
粉丝
5
嗯,我就是找不到被偷了代码的OEP,汗。
2006-11-7 20:14
0
游客
登录 | 注册 方可回帖
返回
//