-
-
[旧帖] [求助]大大们请进来帮个忙,研究 .net 解密的时候卡住了(T_T) 0.00雪花
-
发表于: 2008-4-15 08:38 3460
-
过去讲过,.net下加壳分两种,一种是像MaxtoCode那样,分Method加密解密,在内存中不存在完整的assembly。另一种是用传统的加壳技术,解密后原来完整的assembly会出现在内存中,这就给我们dump之提供了先决条件。Fox用的是第二种。可是断点下在哪儿呢?就下在“万能断点”,mscorjit.dll的compileMethod处,在我的机上是7906E7F4。在OD中下断,bp 7906E7F4。这里要注意,就是在入口点下断会显示地址无效,因为mscorjit.dll还没有被载入,运行一段后就可以下断了。
上面文字引用tankaiha大大的 Xenocode Fox 2007 Community Edition主程序脱壳及网络验证爆破 一文,来自 http://bbs.pediy.com/showthread.php?t=31886&highlight=Xenocode
小弟有疑问了,请大大们告诉偶,引用中红字部分的那个 7906E7F4 咋整出来的撒?
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
赞赏
他的文章
看原图
赞赏
雪币:
留言: