本文介绍了一种使用内存镜像法来定位原始入口点(OEP)的方法。通过PEiD查壳并利用OllyDbg(OD)进行调试,详细步骤包括在资源段、代码段设置断点及跟踪输入表等操作。
一.内存镜像法
1.先用PEiD查壳。
2.进入OD,停在此处。
3.关闭所有异常。
4.先后在资源段,运行,代码段下断点,运行
4.先后在资源段,运行,代码段下断点,运行
发现程序已然开始
在程序刚进入的时候停在资源段内,如果在此下断,并不会运行,于是在输入表下断。
4.下断后运行之
停在输入表
5.双击代码段可以看到还未解压(如果是加密总不能密文都是一样的吧),继续在资源段下断,运行
6.还没解压。。在代码段下断,运行
7.单步执行,到下图处会有卡一下的感觉
8.其下不远处能找到oep
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
