能力值:
( LV9,RANK:3410 )
|
-
-
2 楼
55 push ebp
8BEC mov ebp,esp
|
能力值:
( LV8,RANK:130 )
|
-
-
3 楼
还原00433999处代码代码,EB FE改为55 8B,接下来就要按照 这2个字节是怎么得到的哪?
其实也就是未脱壳的文件入口点的代码,因为附加时OD修改入口点代码变成了死循环,因此附加后你要修复,具体代码是什么,你可以用OD打开未脱壳的文件,看一看就知道了.
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
可以用WriteProcessMemory断到吗?
如果入口点不是
push ebp
mov esp,ebp的指令该怎么办?
最初由 popo123456 发布
其实也就是未脱壳的文件入口点的代码,因为附加时OD修改入口点代码变成了死循环,因此附加后你要修复,具体代码是什么,你可以用OD打开未脱壳的文件,看一看就知道了.
|
能力值:
( LV8,RANK:130 )
|
-
-
5 楼
呵呵,是我说不清楚,还是你理解不了.
1.可以用WriteProcessMemory断到吗?
壳的入口点还用下断吗?
2.如果入口点不是
push ebp
mov esp,ebp的指令该怎么办?
怎么办?是谁你就写谁嘛
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
WriteProcessMemory写入EB FE,这个指令应该
可以断到的!
还有,在Win2k下,找magic jmp你的方法不能用。
最初由 popo123456 发布 呵呵,是我说不清楚,还是你理解不了.
1.可以用WriteProcessMemory断到吗?
壳的入口点还用下断吗? ........
|
能力值:
( LV8,RANK:130 )
|
-
-
7 楼
我就是在XP下脱的,怎么不能用?
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
未修改前可以看到啊 558B 所以嘿嘿
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
Attach进程后,对GetModuleHandleA下硬件断点。
然后设置忽略一切的异常处理后,按F9几次后,
程序就运行了。
每一次断下后,我都Alt F9回到程序领空查看。
并没有看到你说的magic jmp的代码。
armadillo标准壳在Win2k该怎么找magic jmp,
或者有armdump工具直接dump后修复。
我觉得可以找OEP和IAT以及它的SIZE,
然后用专用工具Dump修复。
谁能在2K下找找那个magic jmp.
最初由 popo123456 发布 我就是在XP下脱的,怎么不能用?
|
|
|