程序跑飞了
前言
时间过的真是快,转眼就已经到了期中考了。还好我这个星期参加了比赛,不用考试。老师给的分比我自己考的还要高[滑稽]
正文
恒大的课程第16课,去除qq桌球瞄准器的附加安装,学习到了不少。在此做个总结
首先拿到PE还是先查壳,PEID一查无壳
拖入OD,运行F8,发现程序飞了..
对其下断点,程序运行程序。F7进入call ,然后继续F8,找到下一个会跳出框框的call
在寻找下一个call 的时候,我们的程序运行到了一个loop,解决方法是通过F4运行到指定位置
然后继续F8,发现到下一个冒出这个框框的地址,方法如上
然后继续F8,发现下一个出现框框的地址,方法还是一样,直到发一个jnz判断是否跳过的call的
将那个jnz改为jmp就能跳过了
寻找关键跳判断call,这里我发现一个小技巧,会有一点不同,他是运行一秒之后又变成了暂停,这代表就是最好一个地址,直接Noop掉也可以
其实去除指定位置的框框最好的方法就是F12暂停法,暂停下来,显示地址调用在进call跟踪,或者直接把cll给nop掉完事
转载请声明:转自422926799.github.io
转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。
文章标题:程序跑飞了
本文作者:九世
发布时间:2018-11-02, 20:27:16
最后更新:2019-04-19, 20:36:16
原始链接:http://jiushill.github.io/posts/fbb10a6b.html版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。