程序跑飞了

  1. 前言
  2. 正文

前言

时间过的真是快,转眼就已经到了期中考了。还好我这个星期参加了比赛,不用考试。老师给的分比我自己考的还要高[滑稽]
ihxPVf.jpg

正文

恒大的课程第16课,去除qq桌球瞄准器的附加安装,学习到了不少。在此做个总结
首先拿到PE还是先查壳,PEID一查无壳
c0abd1ee.png
拖入OD,运行F8,发现程序飞了..
ihxDiD.png
对其下断点,程序运行程序。F7进入call ,然后继续F8,找到下一个会跳出框框的call
ihxho8.png
在寻找下一个call 的时候,我们的程序运行到了一个loop,解决方法是通过F4运行到指定位置
ihxOe0.png

ihxzYF.md.png
然后继续F8,发现到下一个冒出这个框框的地址,方法如上
ihzPyR.png
然后继续F8,发现下一个出现框框的地址,方法还是一样,直到发一个jnz判断是否跳过的call的
将那个jnz改为jmp就能跳过了
ihz30P.md.png
寻找关键跳判断call,这里我发现一个小技巧,会有一点不同,他是运行一秒之后又变成了暂停,这代表就是最好一个地址,直接Noop掉也可以

其实去除指定位置的框框最好的方法就是F12暂停法,暂停下来,显示地址调用在进call跟踪,或者直接把cll给nop掉完事

转载请声明:转自422926799.github.io


转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。

文章标题:程序跑飞了

本文作者:九世

发布时间:2018-11-02, 20:27:16

最后更新:2019-04-19, 20:36:16

原始链接:http://422926799.github.io/posts/fbb10a6b.html

版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

目录