-
-
[讨论]关于从内存中加载并启动exe
-
发表于:
2007-11-6 19:52
4510
-
新人,先向大家问好.
最近刚开始学习破解,找了点东西来练习,破解上到是没什么进展,不过也学到很多东西.
刚碰到一个程序,delphi写的(peid说的).运行了半天始终不知道怎么下断,因为点完"确定"按钮后,OD中显示进程还是在运行,但是EIP停止在ntdll中不动了.
在名称窗口中查看EIP的位置,函数名是:ZwUnmapViewOfSection
到baidu里看了看ZwUnmapViewOfSection相关的搜索,细节不是很清楚,只知道ZwUnmapViewOfSection是用来从内存中加载并启动一个exe替换当前的进程...
不知道大家有没有碰到过类似的问题,这种情况下需要怎么切换到新的被执行的exe里进行跟踪调试?希望知道的高手们能指个方向......
欢迎大家讨论.
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
