[求助]关与DUMP的不明地方?-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 264 粉丝 0 关注私信	flong 2006-12-25 16:32 2 楼 0 你还没有理解加壳的基本方式，去看看脱壳论坛的教程。如果你一开始运行了软件，就dump，这是完整的完整映像，是带壳的。这时候dump出来的和原来的程序没有什么区别。
卡秋莎雪币： 144 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 57 回帖 421 粉丝 0 关注私信	卡秋莎 2006-12-25 16:45 3 楼 0 我的意思是，软件运行成功了，壳不是释放了软件的代码出来了吗？这个时候的内存不是没有加过壳的映像吗？
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 264 粉丝 0 关注私信	flong 2006-12-25 17:01 4 楼 0 软件运行成功了，壳是要还原原始代码，但是壳和原始代码都在内存里面，如何区分他们呢？壳和原始代码之间有个明显的分界线，找到这个分界线，就是找到了oep（原始代码入口），这个时候然后dump，就脱壳了。
卡秋莎雪币： 144 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 57 回帖 421 粉丝 0 关注私信	卡秋莎 2006-12-25 17:11 5 楼 0 谢谢这为热心的老大，我明白点了！好高兴哦！
SmileBoy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 186 粉丝 0 关注私信	SmileBoy 2006-12-25 20:37 6 楼 0 我觉得LZ的方法虽然理论上可行，但这样的话你打算怎么找OEP呢？
卡秋莎雪币： 144 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 57 回帖 421 粉丝 0 关注私信	卡秋莎 2006-12-25 20:41 7 楼 0 oep我可以用peid的插件,或者其他的专门工具
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 93 回帖 2058 粉丝 5 关注私信	shoooo 16 2006-12-25 21:38 8 楼 0 flong的说法是不准确的楼主的有这样的思路是不错的在有些情况下是可以让软件运行起来后直接dump的，比如某些MFC和VB的程序，普通VC和dephi的程序为什么不可以呢？因为它们跑起来以后，vc的.data段有数据初始化了(.text和.rdata段不会变化),delphi的DATA段也初始化了(BSS段可清0),如果你能找出这两段初始化前的状态，就可以了。找OEP的方法，楼主可以去fcg论坛找我写过的两篇教程
卡秋莎雪币： 144 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 57 回帖 421 粉丝 0 关注私信	卡秋莎 2006-12-26 00:03 9 楼 0 上楼的老大,真不错,应该说是老王的"朋友"了~~,我们小菜都很感谢他的,等下就去看你的大作了,今天收获好大啊~~ 祝大家圣诞快乐~~
费劲雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	费劲 2006-12-26 00:12 10 楼 0 收藏此页... 留在将来仔细看
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (9)
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 264 粉丝 0 关注私信	flong 2006-12-25 16:32 2 楼 0 你还没有理解加壳的基本方式，去看看脱壳论坛的教程。如果你一开始运行了软件，就dump，这是完整的完整映像，是带壳的。这时候dump出来的和原来的程序没有什么区别。
卡秋莎雪币： 144 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 57 回帖 421 粉丝 0 关注私信	卡秋莎 2006-12-25 16:45 3 楼 0 我的意思是，软件运行成功了，壳不是释放了软件的代码出来了吗？这个时候的内存不是没有加过壳的映像吗？
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 264 粉丝 0 关注私信	flong 2006-12-25 17:01 4 楼 0 软件运行成功了，壳是要还原原始代码，但是壳和原始代码都在内存里面，如何区分他们呢？壳和原始代码之间有个明显的分界线，找到这个分界线，就是找到了oep（原始代码入口），这个时候然后dump，就脱壳了。
卡秋莎雪币： 144 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 57 回帖 421 粉丝 0 关注私信	卡秋莎 2006-12-25 17:11 5 楼 0 谢谢这为热心的老大，我明白点了！好高兴哦！
SmileBoy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 186 粉丝 0 关注私信	SmileBoy 2006-12-25 20:37 6 楼 0 我觉得LZ的方法虽然理论上可行，但这样的话你打算怎么找OEP呢？
卡秋莎雪币： 144 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 57 回帖 421 粉丝 0 关注私信	卡秋莎 2006-12-25 20:41 7 楼 0 oep我可以用peid的插件,或者其他的专门工具
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 93 回帖 2058 粉丝 5 关注私信	shoooo 16 2006-12-25 21:38 8 楼 0 flong的说法是不准确的楼主的有这样的思路是不错的在有些情况下是可以让软件运行起来后直接dump的，比如某些MFC和VB的程序，普通VC和dephi的程序为什么不可以呢？因为它们跑起来以后，vc的.data段有数据初始化了(.text和.rdata段不会变化),delphi的DATA段也初始化了(BSS段可清0),如果你能找出这两段初始化前的状态，就可以了。找OEP的方法，楼主可以去fcg论坛找我写过的两篇教程
卡秋莎雪币： 144 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 57 回帖 421 粉丝 0 关注私信	卡秋莎 2006-12-26 00:03 9 楼 0 上楼的老大,真不错,应该说是老王的"朋友"了~~,我们小菜都很感谢他的,等下就去看你的大作了,今天收获好大啊~~ 祝大家圣诞快乐~~
费劲雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	费劲 2006-12-26 00:12 10 楼 0 收藏此页... 留在将来仔细看
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复