脱fsg1.33壳时内存模拟跟踪法。

Submitted by ╰☆往事如风 on 2005, July 30, 6:27 PM. 逆向工程

在脱fsg1.33壳时候。可以使用内存虚拟跟踪的办法快速的到达程序的oep

方法:

od载入。alt+m调出内存窗口。

内存镜像,项目 14
 地址=00401000
 大小=00003000 (12288.)
 Owner=fsg1_33  00400000
 区段=
 包含=code
 类型=Imag 01001002
 访问=R
 初始访问=RWE

内存镜像,项目 15
 地址=00404000
 大小=00001000 (4096.)
 Owner=fsg1_33  00400000
 区段=
 包含=SFX,imports,resources
 类型=Imag 01001002
 访问=R
 初始访问=RWE

对于包含code段来说。无论壳怎么变最后的程序oep总是在这里面。

所以我们可以使用命令行

tc eip<404000

来跟踪。一会就到oep了

其中404000是

内存镜像,项目 14
 地址=00401000
 大小=00003000 (12288.)

地址加大小得到的。

Tags: fsg1.33, 脱壳

« 上一篇 | 下一篇 »

只显示10条记录相关文章

终于搞定装箱问题了。HOHO。 (浏览: 1332, 评论: 0)
[zz]用'or' '='or'就能登陆网站后台的漏洞及修补 (浏览: 1858, 评论: 0)

发表评论

评论内容 (必填):