[已解决]新手学脱壳，使用ESP定律，为啥找到的OEP不对呢？想不明白-求助问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
htpidk 雪币： 7803 活跃值： (4668) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 289 粉丝 1 关注私信	htpidk 2 楼起始地址填加载后的模块地址不是400000，脱完壳把ASLR去掉就可以了，脱完壳后下messagebox和winexec还有shellexecute断点就都搞定了最后于 2023-8-12 13:12 被htpidk编辑，原因：上传的附件：脱壳去弹窗去广告.rar （11.29kb，6次下载） 2023-8-12 12:42 1
wjzhhr 雪币： 230 活跃值： (429) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 177 粉丝 0 关注私信	wjzhhr 3 楼 htpidk 起始地址填加载后的模块地址不是400000，脱完壳把ASLR去掉就可以了，脱完壳后下messagebox和winexec还有shellexecute断点就都搞定了大兄弟，可否再讲仔细一点？我分析的过程是没问题的，只是脱壳的界面，起始地址填写错误了？ 2023-8-12 14:44 0
htpidk 雪币： 7803 活跃值： (4668) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 289 粉丝 1 关注私信	htpidk 4 楼 wjzhhr 大兄弟，可否再讲仔细一点？我分析的过程是没问题的，只是脱壳的界面，起始地址填写错误了？程序有ASLR，不是一直加载在400000位置，需要根据当时加载的主模块地址来填写 2023-8-12 16:02 0
wjzhhr 雪币： 230 活跃值： (429) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 177 粉丝 0 关注私信	wjzhhr 5 楼 htpidk 程序有ASLR，不是一直加载在400000位置，需要根据当时加载的主模块地址来填写多谢兄弟帮忙，应该是先去ASLR或者直接在XP系统下调试即可。 2023-8-13 10:17 0
wjzhhr 雪币： 230 活跃值： (429) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 177 粉丝 0 关注私信	wjzhhr 6 楼 htpidk 起始地址填加载后的模块地址不是400000，脱完壳把ASLR去掉就可以了，脱完壳后下messagebox和winexec还有shellexecute断点就都搞定了你好，@htpidk，我已经完成了这个作业的大部分功能，只剩下最后一个无法完成：现象：用附件里的这个exe文件，正常打开，等40秒会跳转到 7c0K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0f1J5M7r3!0B7K9h3g2Q4x3X3g2U0L8W2)9J5c8X3k6G2M7Y4g2E0i4K6u0V1y4U0S2Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. 页面，但用od打开后，死活不会跳，字符串搜索也找不到相关字符串，设置的断点也跳转不到（也有可能设置错断点了^_^）。我已经去掉了ASLR，可否指点下小弟，如何断下这个要等40秒才执行的断点？？路过的高手也可以试下。上传的附件： 2ke-demo_1_2_2_3.7z （10.15kb，1次下载） 2023-8-14 15:18 0
htpidk 雪币： 7803 活跃值： (4668) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 289 粉丝 1 关注私信	htpidk 7 楼 wjzhhr 你好，@htpidk，我已经完成了这个作业的大部分功能，只剩下最后一个无法完成：现象：用附件里的这个exe文件，正常打开，等40秒会跳转到 fa8K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0f1J5M7r3!0B7K9h3g2Q4x3X3g2U0L8R3`.`. ... 线程启动的，把B11290处的函数头retn就行了 2023-8-14 18:51 0
wjzhhr 雪币： 230 活跃值： (429) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 177 粉丝 0 关注私信	wjzhhr 8 楼 @htpidk，请问这个可以一次性脱壳成功，不用修复IAT？但另外一个https://bbs.kanxue.com/thread-278327-1.htm#1750986为啥不能一次性脱壳成功？一样的步骤，难道还有什么玄机？新手学习，很多东西无从知晓，只能先实践，望各位高手多多赐教。 2023-8-15 10:32 0
htpidk 雪币： 7803 活跃值： (4668) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 289 粉丝 1 关注私信	htpidk 9 楼 wjzhhr @htpidk，请问这个可以一次性脱壳成功，不用修复IAT？但另外一个https://bbs.kanxue.com/thread-278327-1.htm#1750986为啥不能一次性脱壳成功？一样 ... 都要修复IAT，OD里脱壳的时候下面已经默认选择修复了，只不过只能修复比较简单的壳，如果OD里修复失败了就要用另外一个叫啥importrec还是啥名的工具来修复 2023-8-15 12:15 0
wjzhhr 雪币： 230 活跃值： (429) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 177 粉丝 0 关注私信	wjzhhr 10 楼 @htpidk，原来如此，多谢告知。 2023-8-15 15:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
htpidk 雪币： 7803 活跃值： (4668) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 289 粉丝 1 关注私信	htpidk 2 楼起始地址填加载后的模块地址不是400000，脱完壳把ASLR去掉就可以了，脱完壳后下messagebox和winexec还有shellexecute断点就都搞定了最后于 2023-8-12 13:12 被htpidk编辑，原因：上传的附件：脱壳去弹窗去广告.rar （11.29kb，6次下载） 2023-8-12 12:42 1
wjzhhr 雪币： 230 活跃值： (429) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 177 粉丝 0 关注私信	wjzhhr 3 楼 htpidk 起始地址填加载后的模块地址不是400000，脱完壳把ASLR去掉就可以了，脱完壳后下messagebox和winexec还有shellexecute断点就都搞定了大兄弟，可否再讲仔细一点？我分析的过程是没问题的，只是脱壳的界面，起始地址填写错误了？ 2023-8-12 14:44 0
htpidk 雪币： 7803 活跃值： (4668) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 289 粉丝 1 关注私信	htpidk 4 楼 wjzhhr 大兄弟，可否再讲仔细一点？我分析的过程是没问题的，只是脱壳的界面，起始地址填写错误了？程序有ASLR，不是一直加载在400000位置，需要根据当时加载的主模块地址来填写 2023-8-12 16:02 0
wjzhhr 雪币： 230 活跃值： (429) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 177 粉丝 0 关注私信	wjzhhr 5 楼 htpidk 程序有ASLR，不是一直加载在400000位置，需要根据当时加载的主模块地址来填写多谢兄弟帮忙，应该是先去ASLR或者直接在XP系统下调试即可。 2023-8-13 10:17 0
wjzhhr 雪币： 230 活跃值： (429) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 177 粉丝 0 关注私信	wjzhhr 6 楼 htpidk 起始地址填加载后的模块地址不是400000，脱完壳把ASLR去掉就可以了，脱完壳后下messagebox和winexec还有shellexecute断点就都搞定了你好，@htpidk，我已经完成了这个作业的大部分功能，只剩下最后一个无法完成：现象：用附件里的这个exe文件，正常打开，等40秒会跳转到 7c0K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0f1J5M7r3!0B7K9h3g2Q4x3X3g2U0L8W2)9J5c8X3k6G2M7Y4g2E0i4K6u0V1y4U0S2Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`. 页面，但用od打开后，死活不会跳，字符串搜索也找不到相关字符串，设置的断点也跳转不到（也有可能设置错断点了^_^）。我已经去掉了ASLR，可否指点下小弟，如何断下这个要等40秒才执行的断点？？路过的高手也可以试下。上传的附件： 2ke-demo_1_2_2_3.7z （10.15kb，1次下载） 2023-8-14 15:18 0
htpidk 雪币： 7803 活跃值： (4668) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 289 粉丝 1 关注私信	htpidk 7 楼 wjzhhr 你好，@htpidk，我已经完成了这个作业的大部分功能，只剩下最后一个无法完成：现象：用附件里的这个exe文件，正常打开，等40秒会跳转到 fa8K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0f1J5M7r3!0B7K9h3g2Q4x3X3g2U0L8R3`.`. ... 线程启动的，把B11290处的函数头retn就行了 2023-8-14 18:51 0
wjzhhr 雪币： 230 活跃值： (429) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 177 粉丝 0 关注私信	wjzhhr 8 楼 @htpidk，请问这个可以一次性脱壳成功，不用修复IAT？但另外一个https://bbs.kanxue.com/thread-278327-1.htm#1750986为啥不能一次性脱壳成功？一样的步骤，难道还有什么玄机？新手学习，很多东西无从知晓，只能先实践，望各位高手多多赐教。 2023-8-15 10:32 0
htpidk 雪币： 7803 活跃值： (4668) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 289 粉丝 1 关注私信	htpidk 9 楼 wjzhhr @htpidk，请问这个可以一次性脱壳成功，不用修复IAT？但另外一个https://bbs.kanxue.com/thread-278327-1.htm#1750986为啥不能一次性脱壳成功？一样 ... 都要修复IAT，OD里脱壳的时候下面已经默认选择修复了，只不过只能修复比较简单的壳，如果OD里修复失败了就要用另外一个叫啥importrec还是啥名的工具来修复 2023-8-15 12:15 0
wjzhhr 雪币： 230 活跃值： (429) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 177 粉丝 0 关注私信	wjzhhr 10 楼 @htpidk，原来如此，多谢告知。 2023-8-15 15:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

未解决 [已解决]新手学脱壳，使用ESP定律，为啥找到的OEP不对呢？想不明白