首页
欢迎页
相册
搜索
注册
登录脱壳学习ing
脱壳学习ing
由 Sん¤ω 周六 三月 08, 2008 6:28 pm
1.用单步跟踪的方法是不是;一定可以拖掉壳
2.既然 上下键和F8都可以上下移动 为什么要用F8而不用上下移动呢 用上下一直移动到进入点 可以脱壳吗 是不是用F8脱壳比较快而已
3. 你根据什么判断进入点在哪里 是不是每类壳都有固定的进入点 还是有别的什么标志
2.既然 上下键和F8都可以上下移动 为什么要用F8而不用上下移动呢 用上下一直移动到进入点 可以脱壳吗 是不是用F8脱壳比较快而已
3. 你根据什么判断进入点在哪里 是不是每类壳都有固定的进入点 还是有别的什么标志
Sん¤ω- 列兵
- 帖子数 : 9
注册日期 : 08-03-08
回复: 脱壳学习ing
由 Sん¤ω 周六 三月 08, 2008 6:29 pm
1、要视壳的难度来定!
2、上下移动并不执行指令,只是让你浏览指令而已,而F8执行指令
3、入口点的地址一般不会固定,只是同一类壳在入口点附近有一些相同的特征而已;
各类语言编译的文件入口点都有一些规律,可以这利用这点来寻找入口点。
1)Delphi程序
执行程序,用LordPE(或Prodump)选dump(full)脱壳,存为dump.exe。接着用Hex Workshop打开dump.exe,搜索文本“runtime”,搜到后,向前查找离“runtime”最近的十六进制数字“55 8B EC”,数字所在的地址就是程序的OEP。
2)Visual C程序
可以利用Visual C启动部分的几个函数GetCommandLineA(W)、GetVersion、GetModuleHandleA(W)、GetStartupInfoA(W) 等来定位程序的OEP
2、上下移动并不执行指令,只是让你浏览指令而已,而F8执行指令
3、入口点的地址一般不会固定,只是同一类壳在入口点附近有一些相同的特征而已;
各类语言编译的文件入口点都有一些规律,可以这利用这点来寻找入口点。
1)Delphi程序
执行程序,用LordPE(或Prodump)选dump(full)脱壳,存为dump.exe。接着用Hex Workshop打开dump.exe,搜索文本“runtime”,搜到后,向前查找离“runtime”最近的十六进制数字“55 8B EC”,数字所在的地址就是程序的OEP。
2)Visual C程序
可以利用Visual C启动部分的几个函数GetCommandLineA(W)、GetVersion、GetModuleHandleA(W)、GetStartupInfoA(W) 等来定位程序的OEP
Sん¤ω- 列兵
- 帖子数 : 9
注册日期 : 08-03-08
您在这个论坛的权限:
您不能在这个论坛回复主题