能力值:
(RANK:410 )
|
-
-
2 楼
要先返(跳)回入口点时才Dump。如:
01006AE0 push XXX ==>返回到OEP地址时才Dump
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
也就是执行了Retn以后吗,可是执行了Retn就跳到数据区了好像。。
|
能力值:
(RANK:410 )
|
-
-
4 楼
晕,我刚看清楚,你脱的软件是记事本,记事本的OEP应该是004010CC,你还没找到软件OEP。:o
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
可能是入口点找的不对。。。
|
能力值:
(RANK:10 )
|
-
-
6 楼
还是看一看《加密与解密》第二版p369
1.查找程序真正入口点(OEP)
2.抓取内存映像文件
3.PE文件重建
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
唉。你怎么能看出我脱的软件是记事本呢?
|
能力值:
(RANK:410 )
|
-
-
8 楼
最初由 likedust 发布 唉。你怎么能看出我脱的软件是记事本呢?
你传上的图上写明记事本的名字:
010133B0 75 08 JNZ SHORT [COLOR=red]NOTEPAD.010133BA
010133B2 B8 01000000 MOV EAX,1
010133B7 C2 0C00 RETN 0C
010133BA 68 E06A0001 PUSH [COLOR=red]NOTEPAD.01006AE0
010133BF C3 RETN
010133C0 8B85 26040000 MOV EAX,DWORD PTR SS:[EBP+426]
NOTEPAD.EXE ==记事本。
|
能力值:
( LV9,RANK:3410 )
|
-
-
9 楼
用的是XP的记事本
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
连是xp的记事本都知道。
我用aspack2.12加壳的xp的记事本,就一步一步的跟踪到下面这个地方,我感觉没错啊。为什么retn以后不是OEP呢?
|
能力值:
( LV9,RANK:3410 )
|
-
-
11 楼
你ret之后不是1006AE0?
难道不是OEP?
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
最初由 fly 发布 你ret之后不是1006AE0? 难道不是OEP?
没有加壳的notepad的OEP是00006ae0,不是01006ae0啊。。
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
Retn以后就到这里了。就差了一个IMAGEBASE
|
能力值:
(RANK:410 )
|
-
-
14 楼
点右键,分析代码看看。
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
懂了,表示的方法不一样。
|
|
|