Armadillo资料集锦

作者：佚名文章来源：本站原创点击数：更新时间：2008-5-17

WEAL-NUPACK.exe对应的地方（0x400到0x40400共256k）。

    到此已经把加壳文件还原了，但还是不能运行！why？呵呵……因为OEP不对嘛！

（三）找OEP

    前面两步还挺容易，找OEP却把我难住了，足足花了3个小时才找到。因为外壳和原程序在两个

不同的进程中，地址空间不一样，debug起来有困难，幸好我们知道是外壳产生了原程序的进程，所

以断点CreateProcessA是关键！

    从新载入WealthLab.exe，躲过anti-debug，继续从第一步描述的地址开始，下断点“bp

CreateProcessA”，来到这里：

:00408908 6820594100              push 00415920

:0040890D 8D45B8                  lea eax, dword ptr [ebp-48]

:00408910 50                      push eax

:00408911 6A00                    push 00000000

:00408913 6A00                    push 00000000

:00408915 6A04                    push 00000004

:00408917 6A00                    push 00000000

:00408919 6A00                    push 00000000

:0040891B 6A00                    push 00000000

上一页 [1] [2] [3] [4] 下一页

上一篇文章：各种入侵批处理

下一篇文章：网吧冲钱从概念到实践

相文内容：

记一次脱Hying的壳
手动脱壳 PEncrypt V4.0
一个扩展dir命令的vbs脚本
教你将文件秘密加密隐藏在图片中
消除局域网内使用QQ带来的安全隐患
baidu搜索：Armadillo资料集锦
Google搜索：搜索：Armadillo资料集锦