软件名称: wxgjzsc.dll
下载地址:
1d9K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3&6S2L8h3W2H3j5h3&6Q4x3X3g2U0L8$3#2Q4x3V1k6V1i4K6u0r3j5e0M7K6j5e0M7K6x3o6x3J5y4e0u0V1k6X3j5K6z5e0V1H3x3X3x3J5y4X3x3J5j5e0p5@1y4K6k6U0y4o6b7K6j5U0y4V1j5e0S2U0y4e0l9H3x3U0l9H3z5e0l9H3
根据DLL入口点两次访问规则, 一次是初始化的时候, 另一次是退出的时候, 大虾们说按退出的时候来找OEP比较快点.
顺序如下.
1. 用OD载入DLL来到外壳入口点
1003E014 > B8 00001106 mov eax, 6110000
1003E019 60 pushad
2. 按F9运行, (嘿, 按安之后看见多加了个Dll Load的小窗口没, 对,就是它了)
3. 按Alt+M打开内存镜像,找PE Header, 地址为10000000
4. 在PE Header按F2设断
5. 将那个Dll Load小窗口关掉,(嘿, 断下来了, 我们再来到外壳的入口点)(小注一下, 我在这里按了一下F8才来到入口点)
6. 剩下的就是找OEP了..这一步我不会, 动不动就跑飞了
================================================
大虾们看一下, 不知道上面的流程和步骤对不对? 不对的话请指正一下.
还是就是上面所述的第6步, 我不知道哪一个才是OEP, 一直到进程结束都没看出来, 请问大虾们我该怎么判断它就是OEP呀?
提醒一下:
OD里面一般有两个文件, 一个是OllyDBG.EXE 简称OD, 一个是OllyICE.exe 简称OI
用OD载入这个DLL会提示出错, 用OI载入就可以了. 可以尽情调试.
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
