[求助]请教下TMD怎么判断OEP被偷的地方？-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]请教下TMD怎么判断OEP被偷的地方？

发表于: 2009-6-3 10:02 4277

[求助]请教下TMD怎么判断OEP被偷的地方？

guyuelang

2009-6-3 10:02

4277

请教各位大大我有个TMD壳根据脚本跑完后停到这里
004382E1 >  33C0          xor    eax, eax
004382E3 6A 00          push 0x0
004382E5 394424 08    cmp    dword ptr [esp+0x8], eax
004382E9 68 00100000    push 0x1000
004382EE 0F94C0       sete al
004382F1 50             push eax
004382F2 FF15 E8206500 call dword ptr [<&kernel32.HeapCreate>; kernel32.HeapCreate
004382F8 85C0          test eax, eax
004382FA A3 C42A4B00    mov    dword ptr [0x4B2AC4], eax
004382FF 74 36          je    short 00438337
00438301 E8 93FEFFFF    call 00438199
00438306 83F8 03       cmp    eax, 0x3
00438309 A3 C82A4B00    mov    dword ptr [0x4B2AC8], eax
0043830E 75 0D          jnz    short 0043831D
00438310 68 F8030000    push 0x3F8
00438315 E8 84EBFFFF    call 00436E9E
0043831A 59             pop    ecx
0043831B EB 0A          jmp    short 00438327
0043831D 83F8 02       cmp    eax, 0x2
00438320 75 18          jnz    short 0043833A
00438322 E8 BEF6FFFF    call 004379E5
00438327 85C0          test eax, eax
00438329 75 0F          jnz    short 0043833A
0043832B FF35 C42A4B00 push dword ptr [0x4B2AC4]
00438331 FF15 EC206500 call dword ptr [<&kernel32.HeapDestro>; kernel32.HeapDestroy
00438337 33C0          xor    eax, eax
00438339 C3             retn

根据大大们的指导应该是被偷了但我和几个VC delphi程序比较了下
没有发现那个的入口代码和这里有点像是的

偶太菜了请大鸟们指点指点万分感谢啊

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (1)
jasonzhou 雪币： 213 活跃值： (147) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 289 粉丝 1 关注私信	jasonzhou 2 楼看看堆栈里返回到哪里再说确定是不是到了oep 2009-6-4 09:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

guyuelang

发帖

回帖

RANK

关注

私信

他的文章

[求助]请教下TMD怎么判断OEP被偷的地方？ 4278

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
jasonzhou 雪币： 213 活跃值： (147) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 289 粉丝 1 关注私信	jasonzhou 2 楼看看堆栈里返回到哪里再说确定是不是到了oep 2009-6-4 09:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复