他乡_05

ZC: 好几处 没看懂... 需要回看

 

【00:40】PEiD查壳，节"ppptr0"/节"ppptr1"/节"ppptr2"，这个壳 明显就是VMP的。应该是个BC++的程序

【01:15】die 0.64，显示 是BC++

【01:28】OD加载

　　【01:35】直接使用 ESP定律，断点 硬件访问 字节 --> F9 运行N次(ZC: 他 为什么会断下来这么多次?貌似都不是断在硬件访问断点上的啊...)，【01:52】ZC: 这里 为什么会被断下？是触发了硬件访问断点了吗？他一眼就能看出来 “retn 58” 之后ESP就是0012FFC0？这计算的也太快了吧...? 而且如果接下来 不是按F8而是按F9的话 可能就错过了 --> 貌似错过了也没关系... 【01:57】他 继续 F9 了...

　　　　【02:05】程序跑飞

　　【02:07】重新来过

　　　　??? ???

 

【04:27】脱一下anti.exe，OD加载

　　【04:37】这个anti.exe 是1.7的

　　　　【04:50】PEiD查看一下区段，1.6x吧

　　【04:55】ESP定律法

　　【05:10】尝试 脱壳，看看OEP是不是这里

　　【05:22】运行程序，内存错误。PEiD查看(核心扫描)  上面也没有。得出结论，OEP应该不是那里。

　　【05:50】这个位置 才是OEP

　　　　【05:55】OD插件脱壳

　　　　【06:12】PEiD查看(核心扫描)，证明这个应该是正确的了 (ZC: 从哪里看出来的啊？？)

 

【08:32】vmp1.7.exe  1.7的

X