我在学习PE的过程中 遇到一个很棘手的问题:
----------------------------------------------------------------------
在一个脱壳的DLL里面,有N个函数,其中,一个函数里面,有一小段代码是用作简单的自校验,(如把整个文件每个byte加起来得出一个值,然后,跟push进来的参数进行比较,若相等,则以方式1运行,若不相等,则以方式2运行.).
----------------------------------------------------------------------
★请问:对于这样的DLL,怎样才能正确的定位那段代码?★
我自己的跟踪过程:
----------------------------------------------------------------------
曾经,特意在DLL的后面加入一个section,在特定的文件偏移地址处加入特定的数值.之后,修改DLL入口代码为int3,后,运行主程序,断下,eb回去,然后,把这个特定的文件偏移地址转化成虚拟地址,然后bpm,但是,却没有任何的访问迹象,而且,原来的int3在没有a回来的情况下,频繁的断下来,而且都是该dll的入口处,而且入口地址各不相同....
----------------------------------------------------------------------
向各位请教DLL方面的跟踪技巧,谢了!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
