第18课 内存断点法.doc_第1页
第18课 内存断点法.doc_第2页
第18课 内存断点法.doc_第3页
第18课 内存断点法.doc_第4页
第18课 内存断点法.doc_第5页
已阅读5页,还剩3页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

第18课 内存断点法特点:脱壳常用方法之一,常被用于加密性质的壳例1UnPackMe_Armadillo4.10.b(Armadillo4.10加壳,标准方式加壳)史上最为恐怖的armadillo大鳄鱼壳,曾吓倒无数人,其实几秒即可找到它的oep。Ollydbg调试设置如下:选项全部打上勾,即全部忽略,如下图:Ollydbg载入程序后来到这里点菜单“查看”中的“内存”,如下图:对目标文件的.Text段“设置访问中断 F2”,如下图:也可以“设置内存访问断点(A)”,结果是一样的。如下图:设好后变红,如下图所示:点按钮或按F9后,程序即停在oep处:其修复较复杂,此处不讲述。例2EXE Stealth2.72加壳的98记事本。Ollydbg调试设置如下:Ollydbg选项除了“忽略在kernel32中发生的内存访问异常”打勾外,其余全部不打勾,即全部不忽略,如下图:Ollydbg载入程序后来到这里用IsDebuggerPresent插件隐藏OllyDbg,点按钮或按F9后,程序即停在这里:其下方显示,即发生int3中断,也就是CC指令,如上图。点按钮或按F9后,程序即停在这里:下方显示出现int68中断触发的异常,需要shift+F9跳过;否则,点F9无反应。一次shift+F9后,来到这里:需要接着按shift+F9以跳过异常,可是再按一次shift+F9后程序运行,就是传说中所谓的“跑飞”。没办法,重新来过吧!重复上面的步骤,再来到上面的画面。不能再按shift+F9了。点菜单“查看”中的“内存”,如下图:对目标文件的.Text段“设置访问中断 F2”,如下图:设好后变红,如下图所示:这时,可以按shift+F9了,来到这里下方显示Ok!o
人人文库> 全部分类> 应用文书 > 技术指导

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论