欧美一级黄一片2020免费,男诱奷小太正H文

修改text段后,，為什么無(wú)法正確進(jìn)入OEP,？

Tokameine 2021-5-3 1717

我將OEP地址修改到了一個(gè)新節(jié)區(qū)，同時(shí)再將.text節(jié)區(qū)全部進(jìn)去修改,。當(dāng)我將這個(gè)修改后的軟件放入OD,，發(fā)現(xiàn)OD沒辦法定位到設(shè)定好的新的OEP。
AddressOfEntryPoint和ImageBase分別為6000與4000000,，理論上我難度不應(yīng)該在加載該文件時(shí)跳轉(zhuǎn)至406000么,？
但當(dāng)我試著將它丟進(jìn)OD，發(fā)現(xiàn)軟件停在了7725B46B的地方,，且沒辦法順利往下調(diào)試,。
請(qǐng)問，這是為什么,？以及PE文件裝載器是如何定位到OEP的(因?yàn)槲野l(fā)現(xiàn)即便設(shè)定了一個(gè)新的OEP,，它也并沒有跳轉(zhuǎn)過(guò)去)？

2條回答

ffashi 2021-5-5

用stud看清楚先,。

回復(fù)

小白iii 2021-6-6

因?yàn)闆]有圖片展示修改后拖入OD的代碼,，所以下面的內(nèi)容純屬個(gè)人猜測(cè)：

從地址上可以看出，代碼位于地址 0x7XXXXXXX ,，通常這個(gè)地址保存的都是系統(tǒng)模塊,，而程序在處于被調(diào)試狀態(tài)的時(shí)候，會(huì)默認(rèn)設(shè)置一個(gè)斷點(diǎn),，使程序中斷在 ntdll!LdrpDoDebuggerBreak 位置,，有沒有可能斷下的是這個(gè)位置？驗(yàn)證方法,，再次按下 F9,，如果程序二次中斷，基本就能確定了,。
添加區(qū)段的時(shí)候有沒有為區(qū)段添加可執(zhí)行的屬性,，如果沒有添加,，程序在進(jìn)入 OEP 時(shí),，由于不可執(zhí)行，會(huì)產(chǎn)生異常,，最終也可能中斷在一個(gè) 0x7XXXXXXX 的地址上,。
如果上面的兩個(gè)都不是，那么請(qǐng)補(bǔ)充和問題相關(guān)的更多信息，例如修改后的 pe 文件,，或拖入 OEP 后顯示的代碼內(nèi)容,。