这道题其实不算难,只不过我想的有点复杂了,看来学逆向还是需要具有发散性思维的,有些问题确实想不到啊!!
查壳发现有aspack壳:
根据日常习惯,直接手动脱壳(其实是脱壳工具没找着。。),32位程序,x32dbg打开:
首先看到程序中有一个pushad指令,按照我习惯的脱壳方法,直接F8执行pushad,然后在栈中下一个硬件断点,F9运行,即可找到popad的位置
继续往下执行,一直到地址为0x726425的ret指令执行完:
看到一个关键的jmp指令(jmp的距离比较远,极有可能跳转过去就是OEP的位置),一直执行到jmp指令,jmp指令执行完之后: