问：找到入口点后在什么时候dump？-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (14)
小虾雪币： 2367 活跃值： (756) 能力值： (RANK：410 ) 在线值：发帖 21 回帖 2235 粉丝 7 关注私信	小虾 10 2004-8-14 19:04 2 楼 0 要先返（跳）回入口点时才Dump。如： 01006AE0　push XXX ==>返回到OEP地址时才Dump
likedust 雪币： 186 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 81 粉丝 0 关注私信	likedust 2004-8-14 19:14 3 楼 0 也就是执行了Retn以后吗，可是执行了Retn就跳到数据区了好像。。
小虾雪币： 2367 活跃值： (756) 能力值： (RANK：410 ) 在线值：发帖 21 回帖 2235 粉丝 7 关注私信	小虾 10 2004-8-14 20:00 4 楼 0 晕，我刚看清楚，你脱的软件是记事本，记事本的OEP应该是004010CC，你还没找到软件OEP。:o
likedust 雪币： 186 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 81 粉丝 0 关注私信	likedust 2004-8-14 20:11 5 楼 0 可能是入口点找的不对。。。
linhanshi 雪币： 85354 活跃值： (198640) 能力值： (RANK：10 ) 在线值：发帖 8993 回帖 25615 粉丝 423 关注私信	linhanshi 2004-8-14 20:18 6 楼 0 还是看一看《加密与解密》第二版p369 1.查找程序真正入口点（OEP） 2.抓取内存映像文件 3.PE文件重建
likedust 雪币： 186 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 81 粉丝 0 关注私信	likedust 2004-8-14 20:21 7 楼 0 唉。你怎么能看出我脱的软件是记事本呢？
小虾雪币： 2367 活跃值： (756) 能力值： (RANK：410 ) 在线值：发帖 21 回帖 2235 粉丝 7 关注私信	小虾 10 2004-8-14 20:29 8 楼 0 最初由 likedust 发布唉。你怎么能看出我脱的软件是记事本呢？你传上的图上写明记事本的名字： 010133B0　75 08 JNZ SHORT [COLOR=red]NOTEPAD.010133BA 010133B2 B8 01000000 MOV EAX,1 010133B7 C2 0C00 RETN 0C 010133BA 68 E06A0001 PUSH [COLOR=red]NOTEPAD.01006AE0 010133BF C3 RETN 010133C0 8B85 26040000 MOV EAX，DWORD PTR SS：[EBP+426] NOTEPAD.EXE　==记事本。
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2004-8-14 20:44 9 楼 0 用的是XP的记事本
likedust 雪币： 186 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 81 粉丝 0 关注私信	likedust 2004-8-14 20:47 10 楼 0 连是xp的记事本都知道。我用aspack2.12加壳的xp的记事本，就一步一步的跟踪到下面这个地方，我感觉没错啊。为什么retn以后不是OEP呢？
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2004-8-14 20:50 11 楼 0 你ret之后不是1006AE0？难道不是OEP？
likedust 雪币： 186 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 81 粉丝 0 关注私信	likedust 2004-8-14 20:53 12 楼 0 最初由 fly 发布你ret之后不是1006AE0？难道不是OEP？没有加壳的notepad的OEP是00006ae0,不是01006ae0啊。。
likedust 雪币： 186 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 81 粉丝 0 关注私信	likedust 2004-8-14 20:55 13 楼 0 Retn以后就到这里了。就差了一个IMAGEBASE
小虾雪币： 2367 活跃值： (756) 能力值： (RANK：410 ) 在线值：发帖 21 回帖 2235 粉丝 7 关注私信	小虾 10 2004-8-14 21:06 14 楼 0 点右键，分析代码看看。
likedust 雪币： 186 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 81 粉丝 0 关注私信	likedust 2004-8-14 21:06 15 楼 0 懂了，表示的方法不一样。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (14)
小虾雪币： 2367 活跃值： (756) 能力值： (RANK：410 ) 在线值：发帖 21 回帖 2235 粉丝 7 关注私信	小虾 10 2004-8-14 19:04 2 楼 0 要先返（跳）回入口点时才Dump。如： 01006AE0　push XXX ==>返回到OEP地址时才Dump
likedust 雪币： 186 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 81 粉丝 0 关注私信	likedust 2004-8-14 19:14 3 楼 0 也就是执行了Retn以后吗，可是执行了Retn就跳到数据区了好像。。
小虾雪币： 2367 活跃值： (756) 能力值： (RANK：410 ) 在线值：发帖 21 回帖 2235 粉丝 7 关注私信	小虾 10 2004-8-14 20:00 4 楼 0 晕，我刚看清楚，你脱的软件是记事本，记事本的OEP应该是004010CC，你还没找到软件OEP。:o
likedust 雪币： 186 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 81 粉丝 0 关注私信	likedust 2004-8-14 20:11 5 楼 0 可能是入口点找的不对。。。
linhanshi 雪币： 85354 活跃值： (198640) 能力值： (RANK：10 ) 在线值：发帖 8993 回帖 25615 粉丝 423 关注私信	linhanshi 2004-8-14 20:18 6 楼 0 还是看一看《加密与解密》第二版p369 1.查找程序真正入口点（OEP） 2.抓取内存映像文件 3.PE文件重建
likedust 雪币： 186 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 81 粉丝 0 关注私信	likedust 2004-8-14 20:21 7 楼 0 唉。你怎么能看出我脱的软件是记事本呢？
小虾雪币： 2367 活跃值： (756) 能力值： (RANK：410 ) 在线值：发帖 21 回帖 2235 粉丝 7 关注私信	小虾 10 2004-8-14 20:29 8 楼 0 最初由 likedust 发布唉。你怎么能看出我脱的软件是记事本呢？你传上的图上写明记事本的名字： 010133B0　75 08 JNZ SHORT [COLOR=red]NOTEPAD.010133BA 010133B2 B8 01000000 MOV EAX,1 010133B7 C2 0C00 RETN 0C 010133BA 68 E06A0001 PUSH [COLOR=red]NOTEPAD.01006AE0 010133BF C3 RETN 010133C0 8B85 26040000 MOV EAX，DWORD PTR SS：[EBP+426] NOTEPAD.EXE　==记事本。
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2004-8-14 20:44 9 楼 0 用的是XP的记事本
likedust 雪币： 186 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 81 粉丝 0 关注私信	likedust 2004-8-14 20:47 10 楼 0 连是xp的记事本都知道。我用aspack2.12加壳的xp的记事本，就一步一步的跟踪到下面这个地方，我感觉没错啊。为什么retn以后不是OEP呢？
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2004-8-14 20:50 11 楼 0 你ret之后不是1006AE0？难道不是OEP？
likedust 雪币： 186 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 81 粉丝 0 关注私信	likedust 2004-8-14 20:53 12 楼 0 最初由 fly 发布你ret之后不是1006AE0？难道不是OEP？没有加壳的notepad的OEP是00006ae0,不是01006ae0啊。。
likedust 雪币： 186 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 81 粉丝 0 关注私信	likedust 2004-8-14 20:55 13 楼 0 Retn以后就到这里了。就差了一个IMAGEBASE
小虾雪币： 2367 活跃值： (756) 能力值： (RANK：410 ) 在线值：发帖 21 回帖 2235 粉丝 7 关注私信	小虾 10 2004-8-14 21:06 14 楼 0 点右键，分析代码看看。
likedust 雪币： 186 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 81 粉丝 0 关注私信	likedust 2004-8-14 21:06 15 楼 0 懂了，表示的方法不一样。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复