注册了一段时间了,确实在看雪学了很多东西!
这次遇到一个壳,弄了我一个月了豪无进展!特请教各位大大!
该壳最主要的问题是dump以后,我用多个软件查看PE头,确认已修改了OEP指针,但每次用OD载入的时候,却总是先停在壳中,也就是说壳仍然先于OEP运行了?我也尝试下了几个内核API函数的断点(zwcreatfile等),发现壳应该是先HOOK了一些API了,我的问题是:
1,PE头中的OEP是已修改的地址,为什么OD载入并不先停在OEP?而直接就运行壳的代码?虽然该软件大量使用了SEH,但是第一次也应该停在OEP处啊!(OD系统设置是:第一次停在主模块入口)
2,该壳如果HOOK了内核API函数,用OD 应该如何调试?
软件下载地址:(进去看到的第一个软件)
438K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3f1I4x3U0u0Q4x3X3g2U0L8$3#2Q4x3V1j5`.
[培训]科锐逆向工程师培训第53期2025年7月8日开班!
