ACProtect Professional 1.3C 主程序脫殼(2)(圖)
發(fā)布日期:2022-01-01 16:27 | 文章來源:站長之家
4. dump
根據(jù)脫US UnpackMe的經(jīng)驗,不能在false OEP處dump,此時BSS section中許多數(shù)據(jù)已經(jīng)初始化了。最好在第一句(push ebp)就dump??墒悄莻€push ebp離false OEP很遠(yuǎn)L。
Packer EP的初始化環(huán)境:
先看看發(fā)出第1個call的殼代碼:
可以看到(跟一下可以證實),在call入原程序空間前,最后的異常是div 0。用現(xiàn)在的OllyDbg腳本(跟到737B63),停下后修改異常攔截選項:
試試能否攔截異常找到合適的dump位置。當(dāng)前OllyScript腳本停下時的環(huán)境:
棧中為pushad的結(jié)果。
根據(jù)脫US UnpackMe的經(jīng)驗,不能在false OEP處dump,此時BSS section中許多數(shù)據(jù)已經(jīng)初始化了。最好在第一句(push ebp)就dump??墒悄莻€push ebp離false OEP很遠(yuǎn)L。
Packer EP的初始化環(huán)境:



先看看發(fā)出第1個call的殼代碼:

可以看到(跟一下可以證實),在call入原程序空間前,最后的異常是div 0。用現(xiàn)在的OllyDbg腳本(跟到737B63),停下后修改異常攔截選項:

試試能否攔截異常找到合適的dump位置。當(dāng)前OllyScript腳本停下時的環(huán)境:

棧中為pushad的結(jié)果。
上一頁12 3 下一頁 閱讀全文
版權(quán)聲明:本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有,歡迎引用、轉(zhuǎn)載,請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站,禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像,否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來,僅供學(xué)習(xí)參考,不代表本站立場,如有內(nèi)容涉嫌侵權(quán),請聯(lián)系alex-e#qq.com處理。
相關(guān)文章