首页
社区
课程
招聘
对于ASPR1.23RC4在寻找OEP的时的几点疑问!
发表于: 2004-8-18 13:38 4495

对于ASPR1.23RC4在寻找OEP的时的几点疑问!

2004-8-18 13:38
4495
1.在26次异常后,在retn出下断!
  在我学习的脱壳进阶篇的教程中,在最后一次异常后我们应该是在堆栈提示中找到SEH句柄,并下断继续跟踪的!但是我这样做了以后是碰到又一个异常。为什么又会出现新的异常呢?在rent处下断的的原因又是什么呢?
2.在retn处断下了以后,要注意堆栈的值
例如:
在00C03A29上用F2下断,shift+F9来到这里,取消断点。这时堆栈处显示:
0006FB3C   00C12250
0006FB40   10000000  复件_sof.10000000
0006FB44   10017066  复件_sof.10017066
0006FB48   0F7E26CF   ////注意这里 ★
这样做的目的是为了寻找STOLEN CODE和等待代码完全解开是吗?为什么要注意堆栈的数值呢?(原理是什么?)
3.这个壳不能在OEP处dump!
  这个壳在此处dump程序是因为会有anti-dump,于是不能在OEP处dump(对吧?)那请问我们应该如何判断一个程序是否有anti-dump?

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 1
支持
分享
最新回复 (4)
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
2
1.SEH处理中没有任何有用的地方,所以要在RETN下断
2.你按飞速的方法脱的?我不清楚此处
3.可以看看壳的说明书(表欧我),或者Dump一下出错就是有Anti-Dump(再次声明表欧我)
2004-8-18 13:51
0
雪    币: 212
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
谢谢~斑竹~
1.在第26个SEH后不是就直接运行程序了吗?不应该在出现SEH的情况啊~照理说来,f8单步跟踪应该能到达 retn处的,但是我却碰到了一个新的SEH,真是不解!碰到SEH后,就无法继续跟踪了~于是我很想知道,高手们是怎么知道应该在retn下断的!?
2.我是按fly的方法脱的~
0006FB48   0F7E26CF   ////注意这里 ★
这个地方下硬件访问断点!
3.这里dump不会出现非法操作,但是据说即使修复了IAT 和stolen bytes后,仍然无法运行!
2004-8-18 22:55
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
4
相关笔记帖子的疑问请挂在原贴子后面
方便大家查看
否则搞不清你的问题

某些时候你先要能够"How to do"
成功之后再去探究"Why to do "
2004-8-19 00:45
0
雪    币: 212
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
呵呵~我已经成功了~所以我才要知道why to do~
我不是不想在原来的帖子上提问~但是这些帖子都是老帖,回复的人太多(一般不是说:学习!就是谢谢之类的话)
~我也在后面提问过,但是却不见楼主来回答,我想fly您对老帖的回复也懒得在看了,是吧!
于是,我猜想是不是太老了,大家都忙其他的壳去了吧!
2004-8-19 14:10
0
游客
登录 | 注册 方可回帖
返回
//