摘要:
一. Q: 1.PUSHAD (压栈) 代表程序的入口点, 2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近 3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP/FOEP),只要我们找到程序真正的OEP,就可以立刻脱壳。 A: 这是因为 阅读全文
posted @ 2017-05-01 21:49
暴雪对门
阅读(314)
评论(0)
推荐(0)
摘要:
命令行插件支持的命令 CALC 判断表达式 WATCH 添加监视表达式 AT 在指定地址进行反汇编 FOLLOW 跟随命令 ORIG 反汇编于 EIP DUMP 在指定地址进行转存 DA 转存为反汇编代码 DB 使用十六进制字节格式转存 DC 使用 ASCII 格式转存 DD 转存在堆栈格式 DU 阅读全文
posted @ 2017-05-01 20:12
暴雪对门
阅读(723)
评论(0)
推荐(0)
摘要:
一. Q: 近call F7 进去 远call F8 跳过 A: 因为近call跳过的话, 很可能原程序也跑过了 二. Q: 为什么一直向下跳, 不能向上跳? A: 因为向上跳很可能是一个for或者while循环, 这样就很难跳出来了 三. Q: 为什么大跳转很大概率是OEP A: 因为跳过了壳的程 阅读全文
posted @ 2017-05-01 19:40
暴雪对门
阅读(160)
评论(0)
推荐(0)
浙公网安备 33010602011771号