-
-
[请教]arm脱壳问题
-
发表于:
2004-10-30 11:54
4411
-
arm教程中的,连接:
http://www.chinadfcg.com/viewthread.php?tid=3381
问题1。命令行下断点
BP GetModuleHandleA+5 F9运行
断在这
77E5AD8B 0F84 37010000 JE kernel32.77E5AEC8
77E5AD91 FF7424 04 PUSH DWORD PTR SS:[ESP+4]
77E5AD95 E8 F8050000 CALL kernel32.77E5B392
77E5AD9A 85C0 TEST EAX,EAX
77E5AD9C 74 08 JE SHORT kernel32.77E5ADA6
这时候小心的按F9,我这是按了8次程序就运行了,程序运行了以后看堆栈如下
《――――是程序运行后按ALT+F9反回吗?为什么?
0012BE5C 00DF6A5E 返回到 00DF6A5E 来自 kernel32.GetModuleHandleA
0012BE60 0012BF98 ASCII "kernel32.dll"
0012BE64 0012EF60
2。-------------------------------------------------------------------------------------
清除所有断点。现在就可以ALT+M在401000段下内存访问断点了 F9运行
全部红色代码
《――――――内存访问断点怎么下?我下载了红色代码处(之前修改的欺骗arm的代码)断下来,这时和教程中的代码不一样,dump之后运行了也没反应,还有其他断点方法吗?
或者dump的方法?
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
