过去讲过,.net下加壳分两种,一种是像MaxtoCode那样,分Method加密解密,在内存中不存在完整的assembly。另一种是用传统的加壳技术,解密后原来完整的assembly会出现在内存中,这就给我们dump之提供了先决条件。Fox用的是第二种。可是断点下在哪儿呢?就下在“万能断点”,mscorjit.dll的compileMethod处,在我的机上是7906E7F4。在OD中下断,bp 7906E7F4。这里要注意,就是在入口点下断会显示地址无效,因为mscorjit.dll还没有被载入,运行一段后就可以下断了。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
