关于脱壳中的一个问题 190
在下面一段码中0040E9CC8B07moveax,dwordptrds:[edi]0040E9CE09C0oreax,eax0040E9D0743CjeshortNOT...
在下面一段码中
0040E9CC 8B07 mov eax,dword ptr ds:[edi]
0040E9CE 09C0 or eax,eax
0040E9D0 74 3C je short NOTEPAD.0040EA0E
0040E9D2 8B5F 04 mov ebx,dword ptr ds:[edi+4]
0040E9D5 8D8430 14EC00>lea eax,dword ptr ds:[eax+esi+>
0040E9DC 01F3 add ebx,esi
0040E9DE 50 push eax
0040E9DF 83C7 08 add edi,8
0040E9E2 FF96 A0EC0000 call dword ptr ds:[esi+ECA0]
0040E9E8 95 xchg eax,ebp
0040E9E9 8A07 mov al,byte ptr ds:[edi]
0040E9EB 47 inc edi
0040E9EC 08C0 or al,al
0040E9EE ^ 74 DC je short NOTEPAD.0040E9CC
0040E9F0 89F9 mov ecx,edi
0040E9F2 57 push edi
0040E9F3 48 dec eax
0040E9F4 F2:AE repne scas byte ptr es:[edi]
0040E9F6 55 push ebp
0040E9F7 FF96 A4EC0000 call dword ptr ds:[esi+ECA4]
0040E9FD 09C0 or eax,eax
0040E9FF 74 07 je short NOTEPAD.0040EA08
0040EA01 8903 mov dword ptr ds:[ebx],eax
0040EA03 83C3 04 add ebx,4
0040EA06 ^ EB E1 jmp short NOTEPAD.0040E9E9 //要往回跳了
0040EA08 FF96 A8EC0000 call dword ptr ds:[esi+ECA8] //上一段不是要往回跳吗?? 那为什么不在这行设断点f4,而要在下一行设f4
0040EA0E 61 popad //这里F4,继续F8
0040EA0F - E9 B826FFFF jmp NOTEPAD.004010CC //在这里直接跳到了OEP
》》》》
004010CC 55 push ebp //来到这里,在此dump
004010CD 8BEC mov ebp,esp
004010CF 83EC 44 sub esp,44
我的问题见倒数第十行
也就是为什么不在call那行设断点
而要在下一段代码中呢???
我上传上去看了一下
应该是倒数第九行
即
0040EA06 ^ EB E1 jmp short NOTEPAD.0040E9E9 //要往回跳了
0040EA08 FF96 A8EC0000 call dword ptr ds:[esi+ECA8] //上一段不是要往回跳吗?? 那为什么不在这行设断点f4,而要在下一行设f4
0040EA0E 61 popad //这里F4,继续F8 展开
0040E9CC 8B07 mov eax,dword ptr ds:[edi]
0040E9CE 09C0 or eax,eax
0040E9D0 74 3C je short NOTEPAD.0040EA0E
0040E9D2 8B5F 04 mov ebx,dword ptr ds:[edi+4]
0040E9D5 8D8430 14EC00>lea eax,dword ptr ds:[eax+esi+>
0040E9DC 01F3 add ebx,esi
0040E9DE 50 push eax
0040E9DF 83C7 08 add edi,8
0040E9E2 FF96 A0EC0000 call dword ptr ds:[esi+ECA0]
0040E9E8 95 xchg eax,ebp
0040E9E9 8A07 mov al,byte ptr ds:[edi]
0040E9EB 47 inc edi
0040E9EC 08C0 or al,al
0040E9EE ^ 74 DC je short NOTEPAD.0040E9CC
0040E9F0 89F9 mov ecx,edi
0040E9F2 57 push edi
0040E9F3 48 dec eax
0040E9F4 F2:AE repne scas byte ptr es:[edi]
0040E9F6 55 push ebp
0040E9F7 FF96 A4EC0000 call dword ptr ds:[esi+ECA4]
0040E9FD 09C0 or eax,eax
0040E9FF 74 07 je short NOTEPAD.0040EA08
0040EA01 8903 mov dword ptr ds:[ebx],eax
0040EA03 83C3 04 add ebx,4
0040EA06 ^ EB E1 jmp short NOTEPAD.0040E9E9 //要往回跳了
0040EA08 FF96 A8EC0000 call dword ptr ds:[esi+ECA8] //上一段不是要往回跳吗?? 那为什么不在这行设断点f4,而要在下一行设f4
0040EA0E 61 popad //这里F4,继续F8
0040EA0F - E9 B826FFFF jmp NOTEPAD.004010CC //在这里直接跳到了OEP
》》》》
004010CC 55 push ebp //来到这里,在此dump
004010CD 8BEC mov ebp,esp
004010CF 83EC 44 sub esp,44
我的问题见倒数第十行
也就是为什么不在call那行设断点
而要在下一段代码中呢???
我上传上去看了一下
应该是倒数第九行
即
0040EA06 ^ EB E1 jmp short NOTEPAD.0040E9E9 //要往回跳了
0040EA08 FF96 A8EC0000 call dword ptr ds:[esi+ECA8] //上一段不是要往回跳吗?? 那为什么不在这行设断点f4,而要在下一行设f4
0040EA0E 61 popad //这里F4,继续F8 展开
5个回答
展开全部
你可以实验下你自己的想法 也许脱壳的就是在你的那个断点里面,为什么会在后面下断, 那是应为人家已经实验过了并不是面的那个call ,
脱壳成功一般可以是认为遇到了很大的地址空间的转移 。
脱壳的方法一般是沿着程序思路向下走。
所以在这里别人在上面的那个call已经知道不是了(人家已经做过了) ,就向下走。
一定要知道原理,脱壳相对简单 只要不是很变态的
现在看你的程序0040EA06 ^ EB E1 jmp short NOTEPAD.0040E9E9 //要往回跳了
的确是回跳到 0040E9E9
-----
0040E9E9 8A07 mov al,byte ptr ds:[edi]
就是在上面 一般来说这样的小跳只是干扰你的判断,你可以直接向下走,当然也有可能在这里的call里,这些有的时候更多的是经验
脱壳成功一般可以是认为遇到了很大的地址空间的转移 。
脱壳的方法一般是沿着程序思路向下走。
所以在这里别人在上面的那个call已经知道不是了(人家已经做过了) ,就向下走。
一定要知道原理,脱壳相对简单 只要不是很变态的
现在看你的程序0040EA06 ^ EB E1 jmp short NOTEPAD.0040E9E9 //要往回跳了
的确是回跳到 0040E9E9
-----
0040E9E9 8A07 mov al,byte ptr ds:[edi]
就是在上面 一般来说这样的小跳只是干扰你的判断,你可以直接向下走,当然也有可能在这里的call里,这些有的时候更多的是经验
2008-03-22
展开全部
在网上搜一下吧.
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
那么 lz在你认为要设置F4的地方设置以下做个试验如何呢
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
在网上搜一下吧.
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
其实一样的
都可以的拉
你在到OEP那也可以下这没关系这是个压缩壳猜猜是UPX或ASPACK
都可以的拉
你在到OEP那也可以下这没关系这是个压缩壳猜猜是UPX或ASPACK
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询