脱壳基础知识入门之用内存断点找OEP

　2007-01-15 16:44:16　来源：WEB开发网　闂傚倷绶氬ḿ褍螞閹绢喖绠柨鐕傛嫹

闂傚倷绀侀幉锟犲垂閻㈠灚宕查柟鎵閸庡秵銇勯幒鎴濃偓鐢稿磻閹炬枼妲堟繛鍡楃С濞岊亞绱撻崒姘扁枌闁瑰嚖鎷�

婵犵數濮幏鍐川椤撴繄鎹曢梻渚€娼уú銈吤洪妸鈺佺劦妞ゆ帊鑳堕埊鏇㈡煏閸モ晛浠х紒杈╁仱閺佹捇鏁撻敓锟�闂傚倷绶氬ḿ褍螞閹绢喖绠柨鐕傛嫹　　闂傚倷鑳舵灙缂佺粯顨呴埢宥夊即閵忕姵鐎梺缁樺姇閹碱偆鐥閺屾洘绻濊箛鏇犵獥闂佺厧澹婃禍婊堚€旈崘顏佸亾閿濆骸澧ù鐘欏嫮绠鹃柛顐ゅ枎閻忋儲銇勯弴妯哄姦妞ゃ垺鐟╅幃鈩冩償閵囧府鎷�

核心提示： 对code段下内存访问断点，希望他已经解压完毕，脱壳基础知识入门之用内存断点找OEP(5)，方法是按ALT＋M键打开内存窗口，在.code段按F2设断：SHIFT+F9执行：0040D19DA4movsbyteptres:[edi],byteptrds:[esi]//还没解完呢0040D1

对code段下内存访问断点，希望他已经解压完毕。方法是按ALT＋M键打开内存窗口，在.code段按F2设断：

SHIFT+F9执行：

0040D19D　　A4　　　　　　　　　　movsbyteptres:[edi],byteptrds:[esi]　　　　//还没解完呢
0040D19E　　B302　　　　　　　　movbl,2

对data段下内存“写入”断点，试试看他是不是要写data段。

00372712　　F3:A4　　　　　　　　repmovsbyteptres:[edi],byteptrds:[esi]　　　//断到这里
00372714　　5E　　　　　　　　　　popesi

下面再对code段下内存访问断点。F9

00372855　　8907　　　　　　　　　movdwordptrds:[edi],eax　　;SHELL32.DragFinish　//这里是对IAT加密的地方了！！！

00372857　　5A　　　　　　　　　　popedx
00372858　　0FB642FF　　　　　　movzxeax,byteptrds:[edx-1]
0037285C　　03D0　　　　　　　　　addedx,eax
0037285E　　42　　　　　　　　　　incedx
0037285F　　83C704　　　　　　　addedi,4
00372862　　59　　　　　　　　　　popecx
00372863　^E2A9　　　　　　　　loopdshort0037280E
00372865　^E963FFFFFF　　　　　jmp003727CD
0037286A　　8BB593060000　　　　movesi,dwordptrss:[ebp+693]　　　　　　　　　　　//到这里下断F2

现在如果再对data下访问断点已经是没用了。这时应该格外的小心。

我们现在就想既然这一段是对code解码的，那么我们就绕过他吧！

到0037286A下断F2，然后清除内存断点！！！！

上一页 1 2 3 4 5 6 7 8 下一页