-
-
[求助]加壳的Dll是什么时候初始化并解压的?
-
发表于:
2008-3-23 00:19
4241
-
很不解的一个问题。请高手指导指导。
一个DLL文件。本身是用UPcak3.999加壳。。Upack 0.3.9 beta2s -> Dwing
PEiD查看节表如下
.Upack
V偏移:1000
V大小:8000
R偏移:0
R大小:0
.rsrc
V偏移:9000
V大小:9000
R偏移:200
R大小:1DC5
我用OD加载后。。。OD内存显示。
Memory map, 条目 46
地址=10000000
大小=00001000 (4096.)
属主=D3D9_64 10000000 (自身)
区段=
包含=PE 文件头
类型=Imag 01001002
访问=R
初始访问=RWE
Memory map, 条目 47
地址=10001000
大小=00008000 (32768.)
属主=D3D9_64 10000000
区段=.Upack
包含=代码
类型=Imag 01001002
访问=R
初始访问=RWE
Memory map, 条目 48
地址=10009000
大小=00009000 (36864.)
属主=D3D9_64 10000000
区段=.rsrc
包含=SFX,输入表,输出表,资源
类型=Imag 01001002
访问=R
初始访问=RWE
OD载入入。马上停在了入口点位置。。。
这时,我没有开始调试。
直接在10004398 处找到了我所要的Ascii字符
10004398是 区段=.Upack 包含=代码
我的问题就是。为什么直接在WinHex中不能找到字串。。。但一加载后就可以马上发现,还不用脱壳!
加壳的Dll是什么时候初始化并解压的
如果我要跟踪这个DLL 10004398 处的数据是什么时候被写入的。我应该怎么做?
[课程]Linux pwn 探索篇!
