記憶體映象法一般用於稍微複雜的脫殼,在本例中不是很適用,但也能找到oep。
如果在資源段加乙個斷點,第一次訪問資源段位址的是脫殼程式。
首先用ollydbg開啟notepad.exe檔案
在選單欄的【選項】,選擇【除錯設定】,然後切換到【異常】標籤頁
勾選該頁上的各種忽略異常,然後關閉
按下alt+m鍵開啟記憶體映象,找到notepad的資源段,也就是
位址=00407000,大小=00005000的.rsrc段,也就是第乙個看到的.rsrc資源段,選中這行按下f2設定斷點
然後按下f9執行,程式執行到了0040d75f處
然後再按alt+m開啟記憶體映象,在.rsrc上面的.text**段(也就是notepad的**段)按f2設下斷點。
繼續按下f9執行。
正常情況下,這次f9執行會到達oep繼續執行,但是對於這次的notepad.exe我們執行後會彈出乙個提示框。
提示稱應用程式發生異常,位置為004010cc,那麼實際上004010cc也就是我們的oep了.
我們選擇取消,進行程式除錯。
因為我設定為ollydbg為預設偵錯程式,提示稱無法繼續附加到我們除錯的這個程序(windows一次只能除錯乙個程序)
我們關閉這個彈出的ollydbg,回到原先的除錯的ollydbg裡
會發現我們已經到達了oep。
右鍵【分析】選擇【從模組中刪除分析】後,就是oep處的真正**了
脫殼 記憶體斷點法脫殼
目錄二丶記憶體斷點實戰演練 三丶oep位置脫殼 記憶體斷點就是在記憶體上下斷點,然後進行下斷.進而尋得我們脫殼位置處 脫殼和記憶體斷點有啥關係 首先我們要明白乙個殼,常見的殼都是 先儲存暫存器 儲存oep等.最後跳轉到oep 也就是入口點去執行 注意,跳轉的方式很多種,只要能修改eip即可.或者ri...
「愛加密」 動態脫殼法
測試環境為 安卓2.3 ida6.6 下面看具體操作步驟 具體怎樣用ida動態除錯我就不多說了,網上己經有很多文章了,下面直接進入正題。1.準備好調式環境後 用ida附加程序。2.附加成功後按 g 鍵 跳到dvmdexfileopenpartial函式與fopen函式與fgets函式去下好斷點。3....
學習 脫殼之記憶體執行尋找OEP
前言 類似排除法,如果一開始知道oep的位址話,那麼成功脫殼的機率應該百分之百,如果不知道,那自己嘗試的時候,還是需要檢查檢查 1 直接加載入od,開啟記憶體視窗觀察,發現是upx的殼 記憶體對映,條目 22 位址 00401000 大小 00008000 32768.屬主 crackme 0040...