<button id="nckgc"><object id="nckgc"></object></button><button id="nckgc"><acronym id="nckgc"></acronym></button>

    1. 首頁
      社區
      課程
      招聘
      修改text段后,為什么無法正確進入OEP?

      我將OEP地址修改到了一個新節區,同時再將.text節區全部進去修改。當我將這個修改后的軟件放入OD,發現OD沒辦法定位到設定好的新的OEP。
      AddressOfEntryPoint和ImageBase分別為6000與4000000,理論上我難度不應該在加載該文件時跳轉至406000么?
      但當我試著將它丟進OD,發現軟件停在了7725B46B的地方,且沒辦法順利往下調試。
      請問,這是為什么?以及PE文件裝載器是如何定位到OEP的(因為我發現即便設定了一個新的OEP,它也并沒有跳轉過去)?

      收藏
      2條回答
      ffashi 2021-5-5

      用stud看清楚先。

      回復
      小白iii 2021-6-6

      因為沒有圖片展示修改后拖入OD的代碼,所以下面的內容純屬個人猜測:

      1. 從地址上可以看出,代碼位于地址 0x7XXXXXXX ,通常這個地址保存的都是系統模塊,而程序在處于被調試狀態的時候,會默認設置一個斷點,使程序中斷在 ntdll!LdrpDoDebuggerBreak 位置,有沒有可能斷下的是這個位置?驗證方法,再次按下 F9,如果程序二次中斷,基本就能確定了。
      2. 添加區段的時候有沒有為區段添加可執行的屬性,如果沒有添加,程序在進入 OEP 時,由于不可執行,會產生異常,最終也可能中斷在一個 0x7XXXXXXX 的地址上。
      3. 如果上面的兩個都不是,那么請補充和問題相關的更多信息,例如修改后的 pe 文件,或拖入 OEP 后顯示的代碼內容。
      回復
      JsonBourne: 你說的有道理!
      回復 2022-6-14
      国产极品粉嫩福利姬萌白酱_欧美日韩在99线_粉条茄子做法视频_被按摩师玩弄到潮喷在线播放