sfx:ollydebug是程式自帶的調式功能,用來尋找相應的oep
使用注意:sfx使用的範圍是當程式載入od之後,入口點必須是**段之外才可以用,如下,所以當引導程式的時候入口點必須00401000-00402000之外才可以使用sfx
第一種方法使用:塊方式跟蹤真正入口點
設定完紅標處直接執行f9,發現入口點並沒有發生變化,還是一樣,說明這種確實不準確
第二種方法使用:位元組方式跟蹤真正入口點
設定完紅標處直接執行f9,發現入口點改變,並且確實來到了oep處,成功!
學習 脫殼之記憶體執行尋找OEP
前言 類似排除法,如果一開始知道oep的位址話,那麼成功脫殼的機率應該百分之百,如果不知道,那自己嘗試的時候,還是需要檢查檢查 1 直接加載入od,開啟記憶體視窗觀察,發現是upx的殼 記憶體對映,條目 22 位址 00401000 大小 00008000 32768.屬主 crackme 0040...
脫殼學習記錄 DLL找OEP
還是做一些加密解密3的學習記錄 dll檔案脫殼相比於exe脫殼困難一些 用peeditor檢視一下加殼後的dll檔案的資訊 imagebase預設定位在了00400000處,可是我們用od開啟會發現並不是 如果你的od有插間或者輔助程式loaddll.exe就可以開啟dll檔案了,可以去下乙個 用o...
學習 脫殼之Anti Dump和修復PE
文章繼 發現轉儲之後,然後修復iat發現依然是打不開的,原因是殼有反脫殼的檢測 把修復完iat的程式繼續載入,f8跟隨,發現jmp的區段已經不存在了 我們再看下原程式的ac區段,發現是存在的,所以我們需要把這個原程式中的ac區段拷貝乙份,在脫殼後的程式中進行填充 然後填充到脫殼後的程式中 因為是直接...