[求助]对脱ASPack壳的一些疑惑(很菜的问题)-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (2)
bafchai 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	bafchai 2 楼入口点是 pushad 2008-4-11 00:17 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 3 楼一般的压缩壳，如UPX、ASPack等，在壳程序开头用一句pushad把寄存器值入栈，以保存程序运行的初始环境，然后进行壳程序的流程（解密区块数据，填充IAT，重定位等），最后在跳到OEP之前，popad把之前入栈的寄存器值再出栈，恢复初始的运行环境，然后再跳到OEP。这样跳到OEP后，程序的堆栈和寄存器环境就跟刚刚加载时一样了。上段中，蓝色的部分，对应的就是楼主贴的这部分代码。所以，对于ASPack壳，看到这段popad后大跳（push后再retn，效果相当于jmp），就可以判断已经要到OEP了，这里00404B7E就是OEP。 2008-4-11 00:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (2)
bafchai 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	bafchai 2 楼入口点是 pushad 2008-4-11 00:17 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 3 楼一般的压缩壳，如UPX、ASPack等，在壳程序开头用一句pushad把寄存器值入栈，以保存程序运行的初始环境，然后进行壳程序的流程（解密区块数据，填充IAT，重定位等），最后在跳到OEP之前，popad把之前入栈的寄存器值再出栈，恢复初始的运行环境，然后再跳到OEP。这样跳到OEP后，程序的堆栈和寄存器环境就跟刚刚加载时一样了。上段中，蓝色的部分，对应的就是楼主贴的这部分代码。所以，对于ASPack壳，看到这段popad后大跳（push后再retn，效果相当于jmp），就可以判断已经要到OEP了，这里00404B7E就是OEP。 2008-4-11 00:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复