4. dump  
根据脱US UnpackMe的经验,不能在false OEP处dump,此时BSS section中许多数据已经初始化了。最好在第一句(push ebp)就dump。可是那个push ebp离false OEP很远L。

Packer EP的初始化环境:

先看看发出第1个call的壳代码:

可以看到(跟一下可以证实),在call入原程序空间前,最后的异常是div 0。用现在的OllyDbg脚本(跟到737B63),停下后修改异常拦截选项:

试试能否拦截异常找到合适的dump位置。当前OllyScript脚本停下时的环境:

栈中为pushad的结果。
                                                上一页12 3 下一页 阅读全文
来源：https://www.jb51.net/hack/5184.html
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！