手机
当前位置:查字典教程网 >网络安全 >加密解密 >ACProtect Professional 1.3C 主程序脱壳(2)(图)
ACProtect Professional 1.3C 主程序脱壳(2)(图)
摘要:4.dump根据脱USUnpackMe的经验,不能在falseOEP处dump,此时BSSsection中许多数据已经初始化了。最好在第一句...

4. dump

根据脱US UnpackMe的经验,不能在false OEP处dump,此时BSS section中许多数据已经初始化了。最好在第一句(push ebp)就dump。可是那个push ebp离false OEP很远L。

Packer EP的初始化环境:

ACProtect Professional 1.3C 主程序脱壳(2)(图)1

ACProtect Professional 1.3C 主程序脱壳(2)(图)2

ACProtect Professional 1.3C 主程序脱壳(2)(图)3

先看看发出第1个call的壳代码:

ACProtect Professional 1.3C 主程序脱壳(2)(图)4

可以看到(跟一下可以证实),在call入原程序空间前,最后的异常是div 0。用现在的OllyDbg脚本(跟到737B63),停下后修改异常拦截选项:

ACProtect Professional 1.3C 主程序脱壳(2)(图)5

试试能否拦截异常找到合适的dump位置。当前OllyScript脚本停下时的环境:

ACProtect Professional 1.3C 主程序脱壳(2)(图)6

栈中为pushad的结果。

上一页12 3 下一页 阅读全文

【ACProtect Professional 1.3C 主程序脱壳(2)(图)】相关文章:

黑客揭秘攻击Discuz!内幕

用最佳方法来管理加密密钥

手动脱壳入门第四篇Aspack 2.11

解析edikid

Allok Video to 3GP Converter 脱壳+破解(图)

ACProtect Professional 1.3C 主程序脱壳(1)(图)

Oracle密码文件使用与维护技巧

文件夹加密器使文件加密更轻松(图)

Getright 5 手动脱壳和重建IAT--第二部分(图)

在KDE环境下安装GnuPG加密软件

精品推荐
分类导航