- UID
- 2198
注册时间2005-6-29
阅读权限255
最后登录1970-1-1
副坛主
该用户从未签到
|
OD载入到这里:
004BAB53 > $ E8 00000000 CALL Allok_Vi.004BAB58 ; (初始 cpu 选择)
004BAB58 $ 60 PUSHAD //这里ESP定律
ESP定律停到这里:
004BA732 . 58 POP EAX
004BA733 . FFD0 CALL EAX // 进入就是OEP
进入:
00418446 55 PUSH EBP ; (初始 cpu 选择) //这里搜索ASCII
00418447 8BEC MOV EBP,ESP
00418449 6A FF PUSH -1
0041844B 68 D0DE4100 PUSH Allok_Vi.0041DED0
00418450 68 CC854100 PUSH Allok_Vi.004185CC ; JMP 到 MSVCRT._except_handler3
有不少软件都隐藏了自己的ASCII等关键字符
这里有两个技巧 在这简单的说一下
OD载入后,如果搜索ASCII什么都没有找到(非VB程序)
大家就F8单步
跟进一个程序领空的CALL后 再搜索ASCII(如 雷神高清晰数字网络电视、STV深蓝电视等)
另一种就是类似这个程序 在真正OEP之前添加了些东西,但还不能说是壳。大家运行到OEP再搜索就OK了
PS:修改了 把限权该掉了
补充一点:调试的时候,如果搜索不到ASCII,选择“查看——可执行模块——寻找软件的进程并下端,运行程序,断下后再搜索ASCII
[ 本帖最后由 Nisy 于 2006-8-29 22:53 编辑 ] |
评分
-
查看全部评分
|