关于2哥教材脱壳进阶第9篇Acprotect1.09疑惑
关于2哥教材脱壳进阶第9篇Acprotect1.09疑惑各位大侠 你们好
小弟拜读2哥的脱壳教材 受益非浅但有一处不明思索一晚 都没相通特地请教下
Acprotect1.09这个壳先把od设置成忽略除 内存访问异常以外的说有异常 f9 再来shift+f9
到了
0041308E CD 01 INT 1 按找以前的教材 因该是 察看堆栈区 找到 se句丙返回到se处理完的出口
00413090 40 INC EAX 但教材里却是用内存断点法直接找到oep
00413091 40 INC EAX
00413092 0BC0 OR EAX,EAX
00413094 0F85 B6000000 JNZ NOTEPAD.00413150
0041309A 60 PUSHAD
我的问题有2: 1 为什么这里不用2次内存断点法 以前的PE-SHiELD V0.25那篇 先让壳处理完 seh再来2次内存断点
2次内存断点和直接内存断点 什么情况下用其中个啊同样是加密壳 这里用1次短点
2 最重要的按照2哥的方法下了一次内存断点 就到了 伪oep
004010C7 000D 0A0000B3 add byte ptr ds:,cl
004010CD BB 93448578 mov ebx,78854493 程序停这了 不是真正的入口oep
004010D2 56 push esi
004010D3 FF15 E4634000 call dword ptr ds: ; NOTEPAD.0040D1BA
004010D9 8BF0 mov esi,eax
004010DB 8A00 mov al,byte ptr ds:
004010DD 3C 22 cmp al,22
004010DF 75 1B jnz short NOTEPAD.004010FC
004010E1 56 push esi
004010E2 FF15 F4644000 call dword ptr ds: ; NOTEPAD.0040D4C6
因为acprotect 把oep 前面6个字节改了 2哥的方法是 打开记事本看看没加壳的前面6个字节 如果是不知道这是为什么编译器遍的 程序怎么才能把 acprotect还原 这是不是就是别人说的 偷code啊 没人看??
顶一下
页:
[1]