ACProtect Professional 1.3C 主程序脱壳(2)(图)
4. dump<br />根据脱US UnpackMe的经验,不能在false OEP处dump,此时BSS section中许多数据已经初始化了。最好在第一句(push ebp)就dump。可是那个push ebp离false OEP很远L。
<br />
<br />Packer EP的初始化环境:
<br />
<br /><img src="https://img.jbzj.com/file_images/hack/2008108192373177801.bmp" border="0" onload="javascript:if(this.width>500)this.width=500" title="点击这里用新窗口浏览图片" />
<br /><img src="https://img.jbzj.com/file_images/hack/2008108192379377802.bmp" border="0" onload="javascript:if(this.width>500)this.width=500" title="点击这里用新窗口浏览图片" />
<br />
<br /><img src="https://img.jbzj.com/file_images/hack/20081081923715677803.bmp" border="0" onload="javascript:if(this.width>500)this.width=500" title="点击这里用新窗口浏览图片" />
<br />
<br />先看看发出第1个call的壳代码:
<br /><img src="https://img.jbzj.com/file_images/hack/20081081923720377804.bmp" border="0" onload="javascript:if(this.width>500)this.width=500" title="点击这里用新窗口浏览图片" />
<br />
<br />可以看到(跟一下可以证实),在call入原程序空间前,最后的异常是div 0。用现在的OllyDbg脚本(跟到737B63),停下后修改异常拦截选项:
<br /><img src="https://img.jbzj.com/file_images/hack/20081081923725077805.bmp" border="0" onload="javascript:if(this.width>500)this.width=500" title="点击这里用新窗口浏览图片" />
<br />
<br />试试能否拦截异常找到合适的dump位置。当前OllyScript脚本停下时的环境:
<br />
<br /><img src="https://img.jbzj.com/file_images/hack/20081081923729677806.bmp" border="0" onload="javascript:if(this.width>500)this.width=500" title="点击这里用新窗口浏览图片" />
<br />
<br />栈中为pushad的结果。
<br />
<div class="cupage">上一页<strong>1</strong>2 3 下一页 阅读全文</div>
頁:
[1]