我是新手啊 看了很久的文章 最进在试动手脱一个壳的时候碰到一个问题,请前辈给点提示啊。
我脱的好像是用vc6.0写的可是 他oep入口更正常的不一样 全面都是db + 数字这样的格式
跟正常 的push ebx不一样 不知道是不是花指令,我试了几种花指令去除的工具都没用。 希望懂的前辈能指导一下。
下面是例子
0408D13F 28 db 28 ; CHAR '('
0408D140 81 db 81
0408D141 5C db 5C ; CHAR '\'
0408D142 D6 db D6
0408D143 DC db DC
0408D144 EF db EF
0408D145 A2 db A2
0408D146 89 db 89
0408D147 51 db 51 ; CHAR 'Q'
0408D148 80 db 80
0408D149 BC db BC
0408D14A 42 db 42 ; CHAR 'B'
0408D14B AD db AD
0408D14C 3F db 3F ; CHAR '?'
0408D14D E1 db E1
0408D14E 26 db 26 ; CHAR '&'
0408D14F 0B db 0B
0408D150 54 db 54 ; CHAR 'T'
0408D151 07 db 07
0408D152 C4 db C4
0408D153 77 db 77 ; CHAR 'w'
0408D154 88 db 88
0408D155 E7 db E7
0408D156 43 db 43 ; CHAR 'C'
0408D157 D9 db D9
0408D158 . 895D FC mov dword ptr ss:[ebp-4],ebx
0408D15B . 6A 02 push 2
0408D15D . 5F pop edi
0408D15E . 57 push edi
0408D15F . FF15 047A0904 call dword ptr ds:[4097A04] ; msvcrt.__set_app_type
