VB的OEP特征
前言看到一个小工具,用来查一个指定壳. 记录00401074 68 F41B4000 push 00401BF4
00401079 E8 EEFFFFFF call 0040106C ; jmp to MSVBVM50.ThunRTMain
VB的OEP特征: 00401BF4 56 42 35 21 8C 0E 2A 00 00 00 00 00 00 00 00 00 VB5!?*.........
如果知道是VB的程序,在程序跑起来后,找OEP的方法.
Memory map,item 22
Address=00401000
Size=00008000 (32768.)
Owner=IsItArma 00400000
Section=UPX0
Type=Imag 01001002
Access=R
Initial access=RWE
00401BF2 . FFE1 jmp ecx
00401BF4 56 db 56 ; CHAR 'V'
00401BF5 42 db 42 ; CHAR 'B'
00401BF6 35 db 35 ; CHAR '5'
00401BF7 21 db 21 ; CHAR '!'
00401BF8 8C db 8C
00401BF9 0E db 0E
00401BFA 2A db 2A ; CHAR '*'
00401BFB 00 db 00
可以看出”VB5!”字符串地址为00401BF4. 还可以找字符串的地址参考 00401072 00 db 00
00401073 00 db 00
00401074 68 db 68 ; CHAR 'h'
00401075 F41B4000 dd IsItArma.00401BF4
00401079 E8 db E8
0040107A EE db EE
0040107B FF db FF
0040107C FF db FF
0040107D FF db FF
这样看不出来是代码,删除OD的分析,就看出是代码了. 00401072 0000 add byte ptr [eax],al ; this is VB's OEP
00401074 68 F41B4000 push 00401BF4
00401079 E8 EEFFFFFF call 0040106C ; jmp to MSVBVM50.ThunRTMain
0040107E 0000 add byte ptr [eax],al
(编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |