在破解一个软件时一跟到某个call他会吧od自动关掉软件加的壳是UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo教程上的esp定律脱 会自动把od给关掉 大虾们给指点下
我单步跟到了这
004CAB45 61 popad
004CAB46 8D4424 80 lea eax, dword ptr [esp-80]
004CAB4A 6A 00 push 0
004CAB4C 39C4 cmp esp, eax
004CAB4E ^ 75 FA jnz short 004CAB4A
004CAB50 83EC 80 sub esp, -80
004CAB53 ^ E9 E017FDFF jmp 0049C338
在004CAB53 ^ E9 E017FDFF jmp 0049C338个跳是很像到程序入口
我把程序dump出来可以运行
但是用peid深度扫描还是显示UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi)的壳用od载入没的加密的提示
这是程序的入口点吗?(用peid找程序的oep他也会把peid关掉)
0049C338 > /55 push ebp
0049C339 > $ |8BEC mov ebp, esp
0049C33B . |83C4 F0 add esp, -10
0049C33E . |B8 B0C04900 mov eax, 0049C0B0
0049C343 . |E8 88A8F6FF call 00406BD0
0049C348 . |A1 1CEE4900 mov eax, dword ptr [49EE1C]
0049C34D . |8B00 mov eax, dword ptr [eax]
0049C34F . |E8 2C56FCFF call 00461980
0049C354 . |A1 1CEE4900 mov eax, dword ptr [49EE1C]
0049C359 . |8B00 mov eax, dword ptr [eax]
0049C35B . |BA 98C34900 mov edx, 0049C398
0049C360 . |E8 2752FCFF call 0046158C
0049C365 . |8B0D 30EF4900 mov ecx, dword ptr [49EF30] ; 寻仙凤凰.0049FE18
0049C36B . |A1 1CEE4900 mov eax, dword ptr [49EE1C]
0049C370 . |8B00 mov eax, dword ptr [eax]
0049C372 . |8B15 308F4900 mov edx, dword ptr [498F30] ; 寻仙凤凰.00498F7C
0049C378 . |E8 1B56FCFF call 00461998
0049C37D . |A1 1CEE4900 mov eax, dword ptr [49EE1C]
0049C382 . |8B00 mov eax, dword ptr [eax]
0049C384 . |E8 8F56FCFF call 00461A18
0049C389 . |E8 9A82F6FF call 00404628
0049C38E . |0000 add byte ptr [eax], al
[课程]Android-CTF解题方法汇总!