欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

ACProtect Professional 1.3C 主程序脫殼(2)(圖)

互聯(lián)網   發(fā)布時間:2008-10-08 19:05:27   作者:佚名   我要評論
4. dump 根據脫US UnpackMe的經驗,不能在false OEP處dump,此時BSS section中許多數(shù)據已經初始化了。最好在第一句(push ebp)就dump。可是那個push ebp離false OEP很遠L。 Packer EP的初始化環(huán)境: 先看看發(fā)出第1個call的殼代碼:

2) call 46261C





到這里的stolen code:
從這里開始,不能圖省事了。要追出全部的stolen code,必須跟(必須確保上一次pushad和下一次popad時的環(huán)境一致,才不會丟代碼)。先試直接攔截div 0異常,注意后面是否有popad。如果兩次的環(huán)境不一致,則必須單步跟L。

另外,追stolen code不是一次完成的,所以有些圖中寄存器和堆棧中的數(shù)據對不上,不必管它。

3) 0073BC47


4) 0073C558


5) 第1次call 462634


這個函數(shù)有2個參數(shù)L。



這是最后一次后面存在popad的div 0異常。看看是如何回到原程序的。
在73D872忽略所有異常,對code section下內存訪問斷點。中間在kernel32中有一次內存訪問異常。



最后一次div ebx在73DBE1。單步跟到這里:


73DE38破壞前面代碼。



至此修復所有stolen codes,將前面的6部分和fasle OEP的2個call合在一起。

相關文章

最新評論