关于ximo师傅第十六课的一点经验

dzsq1314

潜水一年多了，也没为论坛做过什么贡献，今天看ximo师傅的早期脱壳第十六课遇到一点小问题。跟着视频设置完异常之后 F9一次直接跑飞。百思不得其解。由于也是刚接触脱壳。所以想了半个多小时没找到原因。最后想到了用二次内存镜像法。确切的说应该是三次内存。废话不多说了 直接载入OD分析。



这是载入OD时的情况，一堆乱七八槽的代码，不管他 直接点M 。

在第一个.rsrc上下访问断点，（这里补充一下为什么要在第一个下，程序加载的时候每个模块都有自己一个独立的4GB虚拟空间
第一个模块也就是exe自己，其他的都是exe需要的一些dll）

F9运行之后会断在这里，也不管他，继续F9

我们可以看到在程序之前的那个提示壳窗口出来了，接着再点击M，然后在.text上下断，同时删除.rsrc断点。然后回头去点击刚弹出的那个小窗口。

可以看到程序直接就跳到OEP了。


接着脱壳的事就不多说了，无非就是LordPe修正大小，再修复一下iat就可以了。

纯属小白的分享经验贴。

大牛飘过吧！！

第一次发帖 如果格式有错误的话 还请版主帮忙编辑，或者@我一下！！

dzsq1314

喵喵爱吃鱼 发表于 2016-1-8 09:41
刚才在64位系统上试了试，可以，记得把所以异常全部勾上，而且Strong OD上面也记得勾上忽略异常什么的，其 ...

我觉得好像是调试器的问题，毕竟才接触脱壳，工具玩的还不是那么6

喵喵爱吃鱼

刚才在64位系统上试了试，可以，记得把所以异常全部勾上，而且Strong OD上面也记得勾上忽略异常什么的，其他的按楼主@dzsq1314  大哥来,这个法子很好

tail88

学习了啊。感谢。

www52pojiecn

这才是经验分享，谢谢

及时雨

主要是学习过程， 现在52人少的多了。

ttjiebai

楼主学习的精神值得肯定

xlda88

探究学习下  多谢分享啦

X.r1z

直接在text断访问

njit214

还没楼主看得快，除了设置异常选项以外，还需要在strongOD里面取消勾选Skip Some Exceptions，这样就不会一次跑飞了