脱穿山甲非标准壳时,OD有点问题(哎,都怪我不够仔细)

zzzyyyy999

今天我看了天草中级班,第14课,有个地方遇到点问题.

这课是要脱壳,是穿山甲非标准版的.我做到了这里:

1. 用OD再一次载入未脱壳的程序，bp DebugActiveProcess，F9断下。看堆栈窗口：
   
2. 
   
3. 
   
4. 打开另一个OD附加D8这个子进程。然后ALT＋F9返回程序:
   
5. 
   
6. 。。。。。。。。。
   
7. 
   
8. 还原代码，EB FE改为55 8B （这也是我们要求记录。。。在这里用到了~呵呵~）
   
9. 
   
10. 下面的做法就和标准壳的一样了
    
11. 
    
12. ********************
    
13. BP OpenMutexA，F9
    
14. 
    
15. Ctrl+G 00401000
    
16. 从401000开始PATCH代码
    
17. 
    
18. 代码如下:
    
19. 
    
20. 00401000     60                  pushad
    
21. 00401001     9C                  pushfd
    
22. 00401002     68 B4FB1200         push 12FBDC ★ 堆栈里看到的值
    
23. 00401007     33C0                xor eax,eax
    
24. 00401009     50                  push eax
    
25. 0040100A     50                  push eax
    
26. 0040100B     E8 B4B2A577         call kernel32.CreateMutexA
    
27. 00401010     9D                  popfd
    
28. 00401011     61                  popad
    
29. 00401012     E9 33F7A577         jmp kernel32.OpenMutexA
    
30. 
    
31. 60 9C 68 DC FB 12 00 33 C0 50 50 E8 B5 A6 A5 77 9D 61 E9 7A 13 A6 77
    
32. 
    
33. 然后新建EIP，再次F9，再次中断，取消断点

复制代码

就在新建EIP后,再次F9时,按理说应该中断,可是我没有中断,而是出现了如下图的情况



我觉得可能是OD的问题,换个OD后,还是不行,就在新建EIP,再次F9后,出现下图



说下我OD的情况:我用的是^0^-Fly 经典版,隐藏OD的插件是HideDebugger.dll和HideOD.dll,HideOD.dll这个插件是自动隐藏OD的.


疑问:不知道是我OD的问题,还是我这两个插件的问题,还是我OD的设置有问题?
请大家帮忙调试下,如果能成功断下来,麻烦告诉下是怎么解决的啊.谢谢了啊!

真想把天草的OD拿来,嘿嘿/:018

附件是未脱的程序和天草的文字记录,动画我就不传了太大了,大家想看的话,我给个链接吧: Armadillo CopyMemll Debug-Blocker

[ 本帖最后由 zzzyyyy999 于 2008-1-26 15:36 编辑 ]

月之精灵

好象是你修改的CALL和JMP的地址有问题

zzzyyyy999

原帖由 月之精灵 于 2008-1-26 12:07 发表
好象是你修改的CALL和JMP的地址有问题

谢谢提醒,非常感谢,都怪我不够仔细,3Q

[ 本帖最后由 zzzyyyy999 于 2008-1-26 15:35 编辑 ]