用PEiD看是*PESHiELD 0.25 -> ANAKiN*
PEiD的EP区段是.perplex
我也看了好多论坛的文章等,有的说是ACPr伪装的,有的说是UltraProtect
,可是程序运行起来有会有一个对话框:
---------------------------
ACProtect
---------------------------
由试用版ACPr保护
---------------------------
确定
---------------------------
用OD载入以后是这样的:
00444000 1> 60 pushad
00444001 E8 01000000 call 1.00444007
00444006 - 71 83 jno short 1.00443F8B
00444008 C40487 les eax, fword ptr ds:[edi+eax*4]
0044400B CF iretd
0044400C 2BCB sub ecx, ebx
0044400E F8 clc
0044400F 03F1 add esi, ecx
00444011 50 push eax
00444012 E8 01000000 call 1.00444018
00444017 - 7E 83 jle short 1.00443F9C
我的OD是除了"不忽略内存异常"忽略所有别的异常,F9运行是这样的
00455B2E CD 01 int 1
00455B30 40 inc eax ; 1.00455B12
00455B31 40 inc eax ; 1.00455B12
00455B32 0BC0 or eax, eax ; 1.00455B12
00455B34 75 05 jnz short 1.00455B3B
00455B36 90 nop
00455B37 90 nop
00455B38 90 nop
00455B39 90 nop
00455B3A 61 popad
00455B3B 33C0 xor eax, eax ; 1.00455B12
00455B3D 64:8F00 pop dword ptr fs:[eax]
00455B40 58 pop eax ; 1.00455B12
00455B41 60 pushad
00455B42 E8 00000000 call 1.00455B47
00455B47 5E pop esi ; 1.00455B3A
请问我是该在那个int1后面的00455B30处下F2断点呢?(因为下面还有pushad指令)还是直接Alt+M,在内存区段下断点?
在那个int1之后的下一条语句我断点了,Shift+F9之后断下来了,然后我取消这个断点,运行到下面的00455B41处我用ESP定律下硬件断点,结果到这了:
0045B538 87D0 xchg eax, edx
0045B53A 85FA test edx, edi
0045B53C 2BCB sub ecx, ebx
0045B53E E8 01000000 call 1.0045B544
0045B543 9A 83C404E9 0400 call far 0004:E904C483
0045B54A 0000 add byte ptr ds:[eax], al
0045B54C 78 02 js short 1.0045B550
0045B54E 85C2 test edx, eax
0045B550 C1C9 17 ror ecx, 17
0045B553 E8 01000000 call 1.0045B559
0045B558 E8 83042406 call 0669B9E0
0045B55D C3 retn
0045B55E E9 04000000 jmp 1.0045B567
请问这里是OEP吗?
其实问题在另外一个帖子里面,可是Fly版主说不能上传附件,所以我只好再发一贴了.
主要是我参考了论坛的有关帖子,都搞不明白,所以上传了一个demo附件,而那个帖子又被版主关闭了,不能解释,只好新开一贴了,请原谅!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
