dbsx 发表于 2008-3-7 18:08:36

PC Shrinker 的壳怎么脱

我什么方法都试过了,就是不行,单步跟踪最后竟然出现好多个push ebp,在附件中,把拓展名改掉

(_欠@_@抽 发表于 2008-3-7 21:04:55

大哥,不知道你是否用过ESP定律,走几步就可以脱掉,不用修复/:L

dbsx 发表于 2008-3-7 21:07:25

我用过,我第一步就是esp数据跟踪了,运行后说f68326ab内存不可读。。。。怎么回事

[ 本帖最后由 dbsx 于 2008-3-8 12:10 编辑 ]

(_欠@_@抽 发表于 2008-3-8 15:34:11

f8两次到然后在esp试试

[ 本帖最后由 (_欠@_@抽 于 2008-3-9 13:01 编辑 ]

dbsx 发表于 2008-3-8 16:22:45

没用啊,还有啊,到call好像不止2步吧,我走2步也就是到pushad下面一个,最后出来的就是00142FBE    55            PUSH EBP
,脱出来就是非有效pe文件

[ 本帖最后由 dbsx 于 2008-3-8 16:30 编辑 ]

maokecheng 发表于 2008-3-9 09:34:16

,/:L /:L 然

(_欠@_@抽 发表于 2008-3-9 13:26:20

不好意思,我看错了,走两步就脱掉,你自己试试

看看这个能不能帮到你

YS.rar

dbsx 发表于 2008-3-9 16:50:57

不行啊,你看下我的od,和你操作一模一样,但是到硬件断点时我发现左下窗口的那个值和你的部一样,你看看是什么原因,是异常没设置好?

[ 本帖最后由 dbsx 于 2008-3-9 17:02 编辑 ]

glassfox 发表于 2008-3-16 22:03:58

简单的做了个视频 希望能帮到楼主

你把异常范围设置为 00000000-EFFFFFFF 看看
页: [1]
查看完整版本: PC Shrinker 的壳怎么脱