欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

ACProtect Professional 1.3C 主程序脫殼(2)(圖)

互聯(lián)網(wǎng)   發(fā)布時(shí)間:2008-10-08 19:05:27   作者:佚名   我要評(píng)論
4. dump 根據(jù)脫US UnpackMe的經(jīng)驗(yàn),不能在false OEP處dump,此時(shí)BSS section中許多數(shù)據(jù)已經(jīng)初始化了。最好在第一句(push ebp)就dump??墒悄莻€(gè)push ebp離false OEP很遠(yuǎn)L。 Packer EP的初始化環(huán)境: 先看看發(fā)出第1個(gè)call的殼代碼:

2) call 46261C





到這里的stolen code:
從這里開始,不能圖省事了。要追出全部的stolen code,必須跟(必須確保上一次pushad和下一次popad時(shí)的環(huán)境一致,才不會(huì)丟代碼)。先試直接攔截div 0異常,注意后面是否有popad。如果兩次的環(huán)境不一致,則必須單步跟L。

另外,追stolen code不是一次完成的,所以有些圖中寄存器和堆棧中的數(shù)據(jù)對(duì)不上,不必管它。

3) 0073BC47


4) 0073C558


5) 第1次call 462634


這個(gè)函數(shù)有2個(gè)參數(shù)L。



這是最后一次后面存在popad的div 0異常??纯词侨绾位氐皆绦虻摹?
在73D872忽略所有異常,對(duì)code section下內(nèi)存訪問斷點(diǎn)。中間在kernel32中有一次內(nèi)存訪問異常。



最后一次div ebx在73DBE1。單步跟到這里:


73DE38破壞前面代碼。



至此修復(fù)所有stolen codes,將前面的6部分和fasle OEP的2個(gè)call合在一起。

相關(guān)文章

最新評(píng)論