[求助][已解决]脱壳过程中的ZwContinue问题-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助][已解决]脱壳过程中的ZwContinue问题 0.00雪花

发表于: 2008-12-20 20:16 6222

[旧帖] [求助][已解决]脱壳过程中的ZwContinue问题 0.00雪花

newjueqi

2008-12-20 20:16

6222

脱壳过程中一般来说到了最后一次异常后就可跟踪到OEP，但本人在脱某个不知名壳时遇到这样一个问题：

脱壳时在最后一次异常处理程序里一直跟踪到以下代码：
7C92EAFC /74 0C          je    short 7C92EB0A
7C92EAFE |5B             pop    ebx                            ; 0012E134
7C92EAFF |59             pop    ecx
7C92EB00 |6A 00          push 0
7C92EB02 |51             push ecx
7C92EB03 |E8 11EBFFFF    call ZwContinue

在“call ZwContinue”按了F8后程序就直接运行了，但如果把这一句NOP掉EIP最终会指向某个不可读的地址。

小弟脱壳经验尚浅，请问在这种情况下怎么到OEP？

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・0

支持

最新回复 (3)
booybooy 雪币： 420 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 53 粉丝 0 关注私信	booybooy 2 楼我遇到了同样的问题2。。顶哈 2008-12-20 20:26 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 3 楼 http://bbs.pediy.com/showthread.php?t=23026 让人怀念的老贴啊 2008-12-20 20:31 0
newjueqi 雪币： 251 活跃值： (25) 能力值： ( LV9，RANK：290 ) 在线值：发帖 22 回帖 392 粉丝 2 关注私信	newjueqi 7 4 楼谢谢shoooo大侠的指点，又学习了，原来continue到的地址是CONTEXT结构中regEip 另外感觉论坛的搜索功能很怪，以zwcontinue为关键字居然搜不到shoooo大侠指出的那篇文章 2008-12-20 21:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

newjueqi

发帖

392

回帖

290

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
booybooy 雪币： 420 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 53 粉丝 0 关注私信	booybooy 2 楼我遇到了同样的问题2。。顶哈 2008-12-20 20:26 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 3 楼 http://bbs.pediy.com/showthread.php?t=23026 让人怀念的老贴啊 2008-12-20 20:31 0
newjueqi 雪币： 251 活跃值： (25) 能力值： ( LV9，RANK：290 ) 在线值：发帖 22 回帖 392 粉丝 2 关注私信	newjueqi 7 4 楼谢谢shoooo大侠的指点，又学习了，原来continue到的地址是CONTEXT结构中regEip 另外感觉论坛的搜索功能很怪，以zwcontinue为关键字居然搜不到shoooo大侠指出的那篇文章 2008-12-20 21:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复