摘要:
ESP定律到达OEP,重新分析代码块 在菜单栏中找到OllyDump插件,该插件的窗口的弹了出来,有一些选项可供我们修改,我们可以对Base of Code进行修改,这里Base of Code = 4000(RVA),该选项相当于对代码段进行了指定,不需要像上一章那样在数据窗口中的PE头中去修改。 阅读全文
posted @ 2017-06-14 20:10
一瓶怡宝
阅读(695)
评论(0)
推荐(0)
摘要:
一开始看到pushad F8执行直到只有esp,eip,变化 在esp处follow in dump 下硬件访问断点 F9运行在硬件断点停下 到达一个长跳转(跳到OEP) 完成 原理回头补充 仅允许非商业转载,转载请注明出处 阅读全文
posted @ 2017-06-14 19:29
一瓶怡宝
阅读(817)
评论(0)
推荐(0)
摘要:
恢复内容开始 IAT(Import Address Table:输入函数地址表) 【IAT作用是什么:】 一个API函数,比如MessageBoxA,我们是如何调用它的呢, 在这里我们可以看出是通过一个间接跳转来抵达了MessageBoxA的入口点。 它的入口点在我的电脑上是75F1FDAE,但是在 阅读全文
posted @ 2017-06-14 19:17
一瓶怡宝
阅读(699)
评论(0)
推荐(0)
浙公网安备 33010602011771号