- UID
- 48276
注册时间2008-3-5
阅读权限10
最后登录1970-1-1
周游历练
TA的每日心情 | 开心
2024-2-23 20:03 |
|---|
签到天数: 3 天 [LV.2]偶尔看看I
|
我在学习脱壳时,直到这一刻,才知自己是多么的才疏学浅,这次虽然问题有点多,还是望朋友相助,根据红色括号内容回答
穿山甲壳单线程的标准法----2次断点法he GetModuleHandleA+5;bp GetCurrentThreadId
1先下he GetModuleHandleA+5--说是为了逃过iat加密(输入地址表加密),iat在程序中起着什么作用呢(简述下程序正常执行的流程)?所谓的加密壳是不是就是在加密IAT(回答是,否,不一定)?
2GetModuleHandleA该函数在程序中的作用是什么(简述)?
3下完断点后,shiftf9运行一次,此时所停在的地方是不是之前下断的那个函数的地方?(回答是与否)
4然后不断的shiftf9(说是跟踪),这每一次运行后所停在的地方是不是接下来的该函数的地方(如果是的话,就说明一个程序可以有多5个同样的函数了)(回答是与否)?
6在 一次时间缓冲比较大的地方取消断点---这缓冲大的地方代表着什么呢(说明程序怎么样了呢)?
7后altf9执行到用户代码,执行到用户代码是什么意思呢,难道之前不是在实行吗(之前不断的shiftf9)?(详细回答)
8之后还要找MAGICjump把它改掉---这一跳代表着什么,跳过加密部分了?(解析下代码的含义-说明下程序是怎么想的)
9之后是第二次断点,说是跳到离oep最近的函数,我困惑,他怎么直到离oep最近的是这个函数呢(你怎么想)
10之后是在一个callf7跟入,为什么不是跳到oep(就是单步走到),和平时不太一样(简述理由) |
|
IP卡
发表于 2008-7-8 12:41:41
提升卡
置顶卡
变色卡
千斤顶
显身卡
发表于 2008-9-3 19:13:11
发表于 2008-9-4 08:29:44
发表于 2008-9-4 09:00:31
