-
-
[求助]脱EXECryptor跟到后面,就跳到JMP,一直循环,哪里错了...
-
发表于: 2010-4-28 20:14
-
OD载入后
7C92120F C3 retn
7C921210 8BFF mov edi, edi
7C921212 > CC int3
7C921213 C3 retn
7C921214 8BFF mov edi, edi
7C921216 8B4424 04 mov eax, dword ptr [esp+4]
7C92121A CC int3
设置内存断点
按shift+F9
006C7C33 AA stos byte ptr es:[edi]
006C7C34 ^ EB E9 jmp short 006C7C1F
006C7C36 E8 FC000000 call 006C7D37
006C7C3B 0F82 97000000 jb 006C7CD8
006C7C41 E8 F1000000 call 006C7D37
向下找retn
006C7D65 E8 CDFFFFFF call 006C7D37
006C7D6A ^ 72 F2 jb short 006C7D5E
006C7D6C C3 retn
006C7D6D 8BE5 mov esp, ebp
006C7D6F 5D pop ebp
006C7D70 C3 retn
006C7D70这里按F2设置断点,取消内存断点,按shift+F9 2次后
006CDE3C /E9 26140000 jmp 006CF267
006CDE41 |008B CC81C110 add byte ptr [ebx+10C181CC], cl
006CDE47 |0000 add byte ptr [eax], al
006CDE49 |008B 09C70113 add byte ptr [ebx+1301C709], cl
006CDE4F |0001 add byte ptr [ecx], al
006CDE51 |00E8 add al, ch
006CDE53 |B8 000000E9 mov eax, E9000000
006CDE58 |02F7 add dh, bh
就出现这个大跳转......
LineH.part1.rar
LineH.part2.rar
LineH.part3.rar
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
