[求助]脱壳后OEP修复问题-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
gziuiu 雪币： 226 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 38 粉丝 0 关注私信	gziuiu 2 楼没懂楼主的意思，能说清楚点吗。 2007-12-7 06:44 0
JJGuo 雪币： 62 活跃值： (2062) 能力值： ( LV2，RANK：10 ) 在线值：发帖 49 回帖 340 粉丝 8 关注私信	JJGuo 3 楼脱壳后的OEP处代码： 0097C545 >- E9 936B1500 jmp 00AD30DD 0097C54A - 0F84 47101700 je 00AED597 0097C550 - E9 ABEA0F00 jmp 00A7B000 0097C555 ^ 78 83 js short 0097C4DA 0097C557 635B 71 arpl word ptr [ebx+71], bx 0097C55A 50 push eax 0097C55B 64:8925 0000000>mov dword ptr fs:[0], esp 0097C562 83EC 58 sub esp, 58 注：脱壳后运行程序，没反应，但在进程里能看到，但如果把它改成上面的代码，双击程序，一闪就没了，但进程里也能看到程序，我看了很多C++编译的程序入口点都那样，只是下面两行不同 005B81FA \|. 68 702A6300 push 00632A70 //压这个地址如何确定 005B81FF \|. 68 8CD85B00 push 005BD88C //还有这个地址 2007-12-7 08:15 0
kanxue 雪币： 50161 活跃值： (20620) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17046 粉丝 549 关注私信	kanxue 8 4 楼 005B81FA \|. 68 702A6300 push 00632A70 //压这个地址如何确定 005B81FF \|. 68 8CD85B00 push 005BD88C //还有这个地址上面两句执行后，值在堆栈里，因此跟踪壳时，来到OEP附近后，可以从堆栈中得到这2个址。 2007-12-7 09:19 0
JJGuo 雪币： 62 活跃值： (2062) 能力值： ( LV2，RANK：10 ) 在线值：发帖 49 回帖 340 粉丝 8 关注私信	JJGuo 5 楼我看了好多的C++程序入口点都是这样 005B81F5 >/$ 55 push ebp 005B81F6 \|. 8BEC mov ebp, esp 005B81F8 \|. 6A FF push -1 //就是下面两行不同，第一个PUSH XXXXXXX ,XXXXXXXX的数据都是 FFFFFFFF,这个//XXXXXXXX怎么找,请老大帮我，有什么特征 //现在第二句PUSH已经搞定. 005B81FA \|. 68 702A6300 push 00632A70 //压这个地址如何确定 005B81FF \|. 68 8CD85B00 push 005BD88C //结构异常处理程序，这个比较好找 005B8204 \|. 64:A1 0000000>mov eax, dword ptr fs:[0] 005B820A \|. 50 push eax 005B820B \|. 64:8925 00000>mov dword ptr fs:[0], esp 005B8212 \|. 83EC 58 sub esp, 58 2007-12-7 19:55 0
JJGuo 雪币： 62 活跃值： (2062) 能力值： ( LV2，RANK：10 ) 在线值：发帖 49 回帖 340 粉丝 8 关注私信	JJGuo 6 楼是不是堆栈中的值。如果是那如何计算？上传的附件： 0.gif （34.22kb，35次下载） 2007-12-8 00:17 0
JJGuo 雪币： 62 活跃值： (2062) 能力值： ( LV2，RANK：10 ) 在线值：发帖 49 回帖 340 粉丝 8 关注私信	JJGuo 7 楼没人回答顶一下 2007-12-8 12:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
gziuiu 雪币： 226 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 38 粉丝 0 关注私信	gziuiu 2 楼没懂楼主的意思，能说清楚点吗。 2007-12-7 06:44 0
JJGuo 雪币： 62 活跃值： (2062) 能力值： ( LV2，RANK：10 ) 在线值：发帖 49 回帖 340 粉丝 8 关注私信	JJGuo 3 楼脱壳后的OEP处代码： 0097C545 >- E9 936B1500 jmp 00AD30DD 0097C54A - 0F84 47101700 je 00AED597 0097C550 - E9 ABEA0F00 jmp 00A7B000 0097C555 ^ 78 83 js short 0097C4DA 0097C557 635B 71 arpl word ptr [ebx+71], bx 0097C55A 50 push eax 0097C55B 64:8925 0000000>mov dword ptr fs:[0], esp 0097C562 83EC 58 sub esp, 58 注：脱壳后运行程序，没反应，但在进程里能看到，但如果把它改成上面的代码，双击程序，一闪就没了，但进程里也能看到程序，我看了很多C++编译的程序入口点都那样，只是下面两行不同 005B81FA \|. 68 702A6300 push 00632A70 //压这个地址如何确定 005B81FF \|. 68 8CD85B00 push 005BD88C //还有这个地址 2007-12-7 08:15 0
kanxue 雪币： 50161 活跃值： (20620) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17046 粉丝 549 关注私信	kanxue 8 4 楼 005B81FA \|. 68 702A6300 push 00632A70 //压这个地址如何确定 005B81FF \|. 68 8CD85B00 push 005BD88C //还有这个地址上面两句执行后，值在堆栈里，因此跟踪壳时，来到OEP附近后，可以从堆栈中得到这2个址。 2007-12-7 09:19 0
JJGuo 雪币： 62 活跃值： (2062) 能力值： ( LV2，RANK：10 ) 在线值：发帖 49 回帖 340 粉丝 8 关注私信	JJGuo 5 楼我看了好多的C++程序入口点都是这样 005B81F5 >/$ 55 push ebp 005B81F6 \|. 8BEC mov ebp, esp 005B81F8 \|. 6A FF push -1 //就是下面两行不同，第一个PUSH XXXXXXX ,XXXXXXXX的数据都是 FFFFFFFF,这个//XXXXXXXX怎么找,请老大帮我，有什么特征 //现在第二句PUSH已经搞定. 005B81FA \|. 68 702A6300 push 00632A70 //压这个地址如何确定 005B81FF \|. 68 8CD85B00 push 005BD88C //结构异常处理程序，这个比较好找 005B8204 \|. 64:A1 0000000>mov eax, dword ptr fs:[0] 005B820A \|. 50 push eax 005B820B \|. 64:8925 00000>mov dword ptr fs:[0], esp 005B8212 \|. 83EC 58 sub esp, 58 2007-12-7 19:55 0
JJGuo 雪币： 62 活跃值： (2062) 能力值： ( LV2，RANK：10 ) 在线值：发帖 49 回帖 340 粉丝 8 关注私信	JJGuo 6 楼是不是堆栈中的值。如果是那如何计算？上传的附件： 0.gif （34.22kb，35次下载） 2007-12-8 00:17 0
JJGuo 雪币： 62 活跃值： (2062) 能力值： ( LV2，RANK：10 ) 在线值：发帖 49 回帖 340 粉丝 8 关注私信	JJGuo 7 楼没人回答顶一下 2007-12-8 12:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复