能力值:
( LV2,RANK:10 )
|
-
-
2 楼
你还没有理解加壳的基本方式,去看看脱壳论坛的教程。
如果你一开始运行了软件,就dump,这是完整的完整映像,是带壳的。这时候dump出来的和原来的程序没有什么区别。
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
我的意思是,软件运行成功了,壳不是释放了软件的代码出来了吗?这个时候的内存不是没有加过壳的映像吗?
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
软件运行成功了,壳是要还原原始代码,但是壳和原始代码都在内存里面,如何区分他们呢?
壳和原始代码之间有个明显的分界线,找到这个分界线,就是找到了oep(原始代码入口),这个时候然后dump,就脱壳了。
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
谢谢这为热心的老大,我明白点了!好高兴哦!
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
我觉得LZ的方法虽然理论上可行,但这样的话你打算怎么找OEP呢?
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
oep我可以用peid的插件,或者其他的专门工具
|
能力值:
![]()
(RANK:650 )
|
-
-
8 楼
flong的说法是不准确的
楼主的有这样的思路是不错的
在有些情况下是可以让软件运行 起来后直接dump的,比如某些MFC和VB的程序,普通VC和dephi的程序为什么不可以呢?因为它们跑起来以后,vc的.data段有数据初始化了(.text和.rdata段不会变化),delphi的DATA段也初始化了(BSS段可清0),如果你能找出这两段初始化前的状态,就可以了。
找OEP的方法,楼主可以去fcg论坛找我写过的两篇教程
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
上楼的老大,真不错,应该说是老王的"朋友"了~~,我们小菜都很感谢他的,等下就去看你的大作了,今天收获好大啊~~ 祝大家圣诞快乐~~
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
收藏此页...
留在将来仔细看
|
|
|
|
