首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]弱问,脱壳的问题(错误图片上传) 0.00雪花
发表于: 2007-12-9 23:26 3095

[旧帖] [求助]弱问,脱壳的问题(错误图片上传) 0.00雪花

rypjoin 活跃值
2007-12-9 23:26
3095
刚开始学习脱壳,按照书上说的手动脱UPX的一个壳

下命令断点:Bp GetProcAddress

F9运行

进入系统领空,然后F2取消断点,CTRL+F9要返回时却显示:

不知如何单步,因为内存地址B84A6DE0不可读,尝试更改EIP或忽略程序异常

是怎么回事,请教各位达人

我把图片上传了,第一幅是F9运行我的OD的样子,第二幅是正常的样子,我不知道是怎么回事,然后第3幅是那个错误

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (7)
七号
雪    币: 199
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
把所有异常都勾上!
选项——调试设置——异常
2007-12-10 01:22
0
rypjoin
雪    币: 47
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
已经忽略所有异常了,可是还是不行
2007-12-10 07:36
0
sczerg
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
CTR+F9:执行到返回。此命令在执行到一个 ret (返回指令)指令时暂停,常用于从系统领空返回到我们调试的程序领空。(相当于 SoftICE 中的 F12)

ALT+F9:执行到用户代码。可用于从系统领空快速返回到我们调试的程序领空。(相当于 SoftICE 中的 F11)

也可以根据堆栈信息CTRL+G输入返回地址
2007-12-10 11:29
0
rypjoin
雪    币: 47
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
顶上去,图片上传,谢谢各位大侠帮忙
2007-12-10 20:56
0
逸云
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
我在脱PC Shrinker 0.29 - 0.71时也碰到这个问题了,所有异常已经选择了,还是这样.希望大大们帮一下.
2008-2-2 00:35
0
lishuqing
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
同问,顶。
BTW: 第一幅图画是不是已经到OEP了?
2008-2-2 08:10
0
petnt
雪    币: 485
活跃值: (12)
能力值: ( LV9,RANK:490 )
在线值:
发帖
回帖
粉丝
私信
8
出现这种情况,我想是因为OD没能力调试7FFFFFFF以上空间造成的。
断下之后,观察堆栈,一般情况下,栈顶就是返回地址。所以,取消断点后跟到那里去看一看可能能发现你要的。
个人见解,仅供参考。
BTW:to 7楼 第一幅没到OEP,OEP应该在程序领空,而现在在系统领空。
2008-2-2 10:44
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//