- 博客(4)
- 收藏
- 关注
转载 笔记三之AsProtect
手脱ASProtect 1.2 ASProtect 1.2 / 1.2c-> Alexey Solodovnikov 最后一次异常 在RET处下断 内存镜像00401000下断 直达OEP!! 手脱ASProtect1.23 1.忽略除内存访问的所有断点,隐藏OD 2。来到最后一次异常 3。RET下断,运行到这。 4。下硬件断点 hr XXXX或在0040100
2015-08-17 10:37:09 414
转载 笔记二ACProtect
六、脱ACProtect132(无Stolen Code) 1。设置异常,隐藏OD 2。shift+f9 最后一次异常法,SE处下内存访问断点 3。SHIFT+F9,F2,再一次SHIFT+F9,下断,再一次SHIFT+F9 4,取消所有断点 5,内存,00401000。F2,SHIFT+F9 6,直达OEP!! 7。修复,脱壳成功 七、常规方法,直达OEP 修复被偷取的
2015-08-17 10:26:33 466
转载 笔记一
一、手脱exe32pack壳 1.ESP定律 2.下断:BP IsDebuggerPresent 运行,取消断点 ALT+F9 f8运行一次 计算ss+edi 转到OEP! 二、脱WinUpack加的壳 加条件断点的方法 三、附加数据的处理办法 用WIN HEX或HEX WORKSHOP进行编辑
2015-08-17 10:09:48 225
原创 寻找OEP
脱壳的首要任务是寻找程序的OEP,找到程序的OEP后,再利用OD插件Ollydump进行脱壳,或者利用工具LoadPE进行脱壳importREC进行修复。这里先来讲述如何寻找程序的OEP。 方法1:单步跟踪 采用F8向下跟踪的方法,遇见向下的跳转继续,遇见向上的跳转(其实就是循环),F4运行到鼠标处走出循环。直到遇到popad指令,再继续F8很快就会到达程序的OEP。 方法2:ESP定律
2015-08-11 10:02:30 708
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人