脱穿山甲非标准壳时,OD有点问题(哎,都怪我不够仔细)
今天我看了天草中级班,第14课,有个地方遇到点问题.这课是要脱壳,是穿山甲非标准版的.我做到了这里:用OD再一次载入未脱壳的程序,bp DebugActiveProcess,F9断下。看堆栈窗口:
打开另一个OD附加D8这个子进程。然后ALT+F9返回程序:
。。。。。。。。。
还原代码,EB FE改为55 8B (这也是我们要求记录。。。在这里用到了~呵呵~)
下面的做法就和标准壳的一样了
********************
BP OpenMutexA,F9
Ctrl+G 00401000
从401000开始PATCH代码
代码如下:
00401000 60 pushad
00401001 9C pushfd
00401002 68 B4FB1200 push 12FBDC ★ 堆栈里看到的值
00401007 33C0 xor eax,eax
00401009 50 push eax
0040100A 50 push eax
0040100B E8 B4B2A577 call kernel32.CreateMutexA
00401010 9D popfd
00401011 61 popad
00401012 E9 33F7A577 jmp kernel32.OpenMutexA
60 9C 68 DC FB 12 00 33 C0 50 50 E8 B5 A6 A5 77 9D 61 E9 7A 13 A6 77
然后新建EIP,再次F9,再次中断,取消断点就在新建EIP后,再次F9时,按理说应该中断,可是我没有中断,而是出现了如下图的情况
http://w.886.cn/5M6V/70685225/70685225_30326.jpg
我觉得可能是OD的问题,换个OD后,还是不行,就在新建EIP,再次F9后,出现下图
http://w.886.cn/5M6V/70685224/70685224_7630.jpg
说下我OD的情况:我用的是^0^-Fly 经典版,隐藏OD的插件是HideDebugger.dll和HideOD.dll,HideOD.dll这个插件是自动隐藏OD的.
疑问:不知道是我OD的问题,还是我这两个插件的问题,还是我OD的设置有问题?
请大家帮忙调试下,如果能成功断下来,麻烦告诉下是怎么解决的啊.谢谢了啊!
真想把天草的OD拿来,嘿嘿/:018
附件是未脱的程序和天草的文字记录,动画我就不传了太大了,大家想看的话,我给个链接吧: Armadillo CopyMemll Debug-Blocker
[ 本帖最后由 zzzyyyy999 于 2008-1-26 15:36 编辑 ] 好象是你修改的CALL和JMP的地址有问题 原帖由 月之精灵 于 2008-1-26 12:07 发表 https://www.chinapyg.com/images/common/back.gif
好象是你修改的CALL和JMP的地址有问题
谢谢提醒,非常感谢,都怪我不够仔细,3Q
[ 本帖最后由 zzzyyyy999 于 2008-1-26 15:35 编辑 ]
页:
[1]