zoukankan      html  css  js  c++  java
  • pecompact2脱壳手记

    忽然心血来潮想来脱壳了,想起以前那款半路放弃的pecompact2.55的壳。从网上下了个pecompact2.70,对记事本加壳。加壳后,od载入,到达入口
    Code
    上来就设置seh,开始以为要转向0101ba24,在0101ba24处设个断点,竟然没有调用到, 01001016处触发异常,
    Code
    跟踪至call ZwContinue处,程序跑飞,呵呵,系统函数,竟然跑飞,我再运行,在这里F7跟进,
    7C90D05E >  B8 20000000     mov     eax, 20
    7C90D063    BA 
    0003FE7F     mov     edx, 7FFE0300
    7C90D068    FF12            
    call    dword ptr [edx]
    7C90D06A    C2 
    0800         retn    8

    跑到7c90d063处,提示KiFastSystemCall,再运行,又飞,上网查ZwContinue的用法,得知进入ZwContinue后,[[esp+4]+B8]处是转向的地址,这个函数我以前在不少书上看到过了,不过看过也没用,用到时记不住,相当于白看了。事非经过记不住啊。查知该处的值为0100739d,这个转移可不小,看样子应该到了OEP了,不过什么程序入口点长成这个样子,记得C程序第一句一般都是push ebp
    Code
    不理他接着跟,越下看越怀疑,怎么开始初始化C运行库了,打住暂停,DUMP出来再说,保存。运行,一切正常。查壳,VC 7.0 Over。
  • 相关阅读:
    iframe与动作连处理
    selenium其他自动化操作
    使用seleniun模拟登陆qq空间
    selenium基本使用
    验证码识别 云打码之古诗文网验证识别
    图片爬取基础
    centos8下LAMP搭建Nextcloud
    浅谈centos8与centos7
    DHCP服务器配置及测试
    使用Apache服务器实现Nginx反向代理
  • 原文地址:https://www.cnblogs.com/j2eedesigner/p/1590173.html
Copyright © 2011-2022 走看看