脱Armadillo CopyMem-ll +Debug-Blocker学做黑鹰初级练习(已解决)
新人,第一次发贴.黑鹰初级练习23时用另一OD附加子进程时用以下代码新建 EIP
00401000 60 pushad
00401001 9C pushfd
00401002 68 DCFB1200 push 12FBDC ; ASCII "2F8::DA447D465C"
00401007 33C0 xor eax,eax
00401009 50 push eax
0040100A 50 push eax
0040100B E8 B5A6A577 call RPCRT4.77E5B6C5
00401010 9D popfd
00401011 61 popad
00401012- E9 7A13A677 jmp RPCRT4.77E62391
F9运行出现如下错误
不知道如何在地址 77E5B6C6 处绕过命令。请尝试更改EIP或者忽略异常执行程序。
按 Shift + F9 程序出现错误提示(类似跑飞)
另试:在调试选项(异常)添加范围 77E5B6C6 。F9,错误提示一样。
求助
机器系统:XP-sp2(d)
补充:另试天草破解教程-中级14 ,结果一样。
请朋友推荐好用的OD版本,谢谢。。
[ 本帖最后由 szwein 于 2008-1-6 17:49 编辑 ] 还没有练到那么深入~~~~
脱标准的穿山甲加壳的时候,也一直出现了那个错误对话框,换了好几个od都一样
你试试从开始就按shift+f9,而不是只按f9,应该就不会出现错误框了,如果还出现,先点确定,再shift+f9吧,
我就是这么搞定的,(*^__^*) 嘻嘻…… OD也换了四个,一个开始就不能加载,另外情况出现错误相同.
Shift+F9 就飞。 用看雪的od脱穿山甲的壳比较稳定点,可能是我别的od没有设置好吧 /:012 我没猜错的话应该是吧
00401000 60 pushad
00401001 9C pushfd
00401002 68 DCFB1200 push XXXXXXXX //看堆栈的地址
00401007 33C0 xor eax,eax
00401009 50 push eax
0040100A 50 push eax
0040100B E8 B5A6A577 call kernel32.CreateMutexA
00401010 9D popfd
00401011 61 popad
00401012- E9 7A13A677 jmp kernel32.OpenMutexA 原帖由 lijingjie 于 2008-1-3 19:15 发表 https://www.chinapyg.com/images/common/back.gif
/:012 我没猜错的话应该是吧
00401000 60 pushad
00401001 9C pushfd
00401002 68 DCFB1200 push XXXXXXXX //看堆栈的地址
00401007 33C0 xor ea ...
确认 XXXXXXXX 正确 将
0040100B E8 B5A6A577 call RPCRT4.77E5B6C5
00401010 9D popfd
00401011 61 popad
00401012- E9 7A13A677 jmp RPCRT4.77E62391
手动改成
0040100B E8 2FD9407C CALL kernel32.CreateMutexA ///注意这一行。
00401010 9D popfd
00401011 61 popad
00401012- E9 04DA407C JMP kernel32.OpenMutexA ///注意这一行。
即可。
这两天在PYG看到些关于Armadillo CopyMem-ll +Debug-Blocker的例子
谢谢PYG。
这里应该是 黑鹰教材的BUG吧。。新人要多练习啊。 /:QQ2 /:QQ2 头晕~~
页:
[1]