软件名称: wxgjzsc.dll
下载地址: http://www.namipan.com/d/a73a7303252dff39902c26c2a1476c443b3da8c500200900
根据DLL入口点两次访问规则, 一次是初始化的时候, 另一次是退出的时候, 大虾们说按退出的时候来找OEP比较快点.
顺序如下.
1. 用OD载入DLL来到外壳入口点
1003E014 > B8 00001106 mov eax, 6110000
1003E019 60 pushad
2. 按F9运行, (嘿, 按安之后看见多加了个Dll Load的小窗口没, 对,就是它了)
3. 按Alt+M打开内存镜像,找PE Header, 地址为10000000
4. 在PE Header按F2设断
5. 将那个Dll Load小窗口关掉,(嘿, 断下来了, 我们再来到外壳的入口点)(小注一下, 我在这里按了一下F8才来到入口点)
6. 剩下的就是找OEP了..这一步我不会, 动不动就跑飞了
================================================
大虾们看一下, 不知道上面的流程和步骤对不对? 不对的话请指正一下.
还是就是上面所述的第6步, 我不知道哪一个才是OEP, 一直到进程结束都没看出来, 请问大虾们我该怎么判断它就是OEP呀?
提醒一下:
OD里面一般有两个文件, 一个是OllyDBG.EXE 简称OD, 一个是OllyICE.exe 简称OI
用OD载入这个DLL会提示出错, 用OI载入就可以了. 可以尽情调试.
[课程]Android-CTF解题方法汇总!