寻找Themida Winlicense加壳程序oep的通用方法
-
相关简介:寻找Themida Winlicense加壳程序oep的通用方法 以沉香宵老师的picknum为例,讲述如何寻找Themida Winlicense加壳后的程序oep。 od打开程序,alt+m在00401000段下内存写入断点,然后shift+F9, 不出意外的话会停在rep movs 这行代码上,取消内存写入断点后,命令行输入bp GetProcessHeap+c,然后F9,程序会停在retn 这行代码上,alt+m 在00401000段下内存访问断点,然后F9,这个程序是两次后到了oep,
-
文章来源:股海网作者:股海网发布时间:2018-04-15浏览次数:
寻找Themida Winlicense加壳程序oep的通用方法
以沉香宵老师的picknum为例,讲述如何寻找Themida Winlicense加壳后的程序oep。
od打开程序,alt+m在00401000段下内存写入断点,然后shift+F9, 不出意外的话会停在rep movs 这行代码上,取消内存写入断点后,命令行输入bp GetProcessHeap+c,然后F9,程序会停在retn 这行代码上,alt+m 在00401000段下内存访问断点,然后F9,这个程序是两次后到了oep,各个程序可能不太一样。
找到程序的oep只是万里长征第一步,某些程序还有很多后续的东西要改,大家接着自己玩吧。
所有技术均来自网络,仅供技术交流和探讨!
OD打开程序后的停留位置
alt+m,找到00401000开头的这行,鼠标右键,选择内存写入断点
shift+F9后程序停留的位置
在刚才下内存断点的地方删除断点
命令行输入bp GetProcessHeap+c,并按回车键
F9运行程序后停留位置
alt+m,选择00401000这行,鼠标右键选择内存访问断点
F9运行1次
F9运行第2次,看到“取数工具”,停留的位置就是程序的oep