首页
社区
课程
招聘
[讨论]关于从内存中加载并启动exe
发表于: 2007-11-6 19:52 4509

[讨论]关于从内存中加载并启动exe

2007-11-6 19:52
4509
新人,先向大家问好.
最近刚开始学习破解,找了点东西来练习,破解上到是没什么进展,不过也学到很多东西.
刚碰到一个程序,delphi写的(peid说的).运行了半天始终不知道怎么下断,因为点完"确定"按钮后,OD中显示进程还是在运行,但是EIP停止在ntdll中不动了.
在名称窗口中查看EIP的位置,函数名是:ZwUnmapViewOfSection
到baidu里看了看ZwUnmapViewOfSection相关的搜索,细节不是很清楚,只知道ZwUnmapViewOfSection是用来从内存中加载并启动一个exe替换当前的进程...
不知道大家有没有碰到过类似的问题,这种情况下需要怎么切换到新的被执行的exe里进行跟踪调试?希望知道的高手们能指个方向......
欢迎大家讨论.

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
多看OD的帮助文件~
2007-11-6 21:11
0
游客
登录 | 注册 方可回帖
返回
//