能力值:
( LV2,RANK:10 )
|
-
-
2 楼
下个 peid0.94 使用插件generic oep finder
可以 看出
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
我记得在SFX里有自动跟踪的.....
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
嗯 谢谢告诉我
不过 如果不利用其他插件呢
只用OD
|
能力值:
( LV12,RANK:300 )
|
-
-
5 楼
怎么才知道找到OEP了,怎么确定是不是OEP
壳代码在完成解壳流程之后,最后跳入OEP。因此,只要你理解了壳的流程,知道你已经调试到哪里了,自然可以比较好地把握OEP
搜索一下发现了以前的帖子:http://bbs.pediy.com/showthread.php?t=14397
Delphi、VC、VB写的程序,其入口点的代码都是各有特点,脱壳脱得多了,到了OEP一眼就能看出来。
另外,一般压缩壳,在壳代码开始处pushad,而在跳入OEP之前popad,恢复堆栈和寄存器环境,也可以由这个来判断。
另外,一些壳的OEP与壳代码的分界没有那么明显,比如在上面这个帖子里,fly就说到AsProtect会会Stolen OEP Code,也就是把原OEP处的前几行代码剪切到壳程序的最后,跑过这几行代码之后,才跳回OEP后的部分,这种情况下脱壳时就必须把这几行代码补回到前面去,等等。
使用插件generic oep finder,或者在SFX中以字节跟踪,能够成功都是有前提的(实际上等于工具帮你自动脱了壳了),在面对未知壳时,当然不能假设在脱壳前就能得到OEP的确切位置。
因此,fly的那句话很对,应该先从简单的开始,循序渐进。
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
嗯
有点明白了  谢了
|
|
|
|
