-
-
[分享]快速跳到PECompact 2.x加壳程序OEP的一个小技巧
-
发表于:
2005-1-5 00:48
4421
-
[分享]快速跳到PECompact 2.x加壳程序OEP的一个小技巧
用OD载入被加壳程序后,如果壳入口地址的RVA不是1000,那么这个入口地址就是原程序的OEP了,F8走一步,然后在壳入口地址处下硬件执行断点,F9运行就到OEP处了...此秘密不忍独吞,特与各位共享之:D :D :D
发现PECompact 加VC编译的程序会把壳的Loader写在OEP处,其他语言编译的程序就不是这样处理的了(入口RVA大多在1000处),大家可以试试
如:
004012E0 t> B8 E0C74200 mov eax,tDProces.0042C7E0 ;壳入口
004012E5 50 push eax
004012E6 64:FF35 00000000 push dword ptr fs:[0]
004012ED 64:8925 00000000 mov dword ptr fs:[0],esp
004012F4 33C0 xor eax,eax
这个程序的壳入口RVA就不是1000,F8到004012E5后在壳入口004012E0下硬件执行断点就行了,断下后就可Dump
[课程]Linux pwn 探索篇!