汇编
天已青色等烟雨来
nozuonodie
展开
-
常见程序入口点(OEP)特征
Borland Delphi 6.0 - 7.0 00509CB0 > $ 55 PUSH EBP 00509CB1 . 8BEC MOV EBP,ESP 00509CB3 . 83C4 EC ADD ESP,-14 00509CB6 . 53 PUSH EBX原创 2015-09-11 11:31:22 · 5818 阅读 · 0 评论 -
常见脱壳方法
预备知识1.PUSHAD (压栈) 代表程序的入口点, 2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP/FOEP),只要我们找到程序真正的OEP,就可以立刻脱壳。 方法一:单步跟踪法1.用OD载入,点“不分析代码!”2.单步向下跟踪F8,实现向下的跳。原创 2015-09-11 11:41:11 · 1748 阅读 · 0 评论