太子 发表于 2016-2-8 19:34

OD中的脱壳脚本吗怎么使用?

论坛工具包中有很多脱壳的脚本
请问这个怎么使用呢?

还有在逆向中遇到这样的代码是什么意思

mov ,esp
mov ,esi

mov ,ecx
add,0


local.1这个是什么玩意?


lwh15524868334 发表于 2016-2-8 19:34

本帖最后由 lwh15524868334 于 2016-2-8 21:12 编辑

假设,ESP寄存器的值0012FF10,里面存的内容是0000FFFF,而地址0012FF14的内容是EEEE0000。
有了上面的这段假设,那么mov ecx,的值就好理解了。
首先esp=0012FF10,esp+4=0012FF14,的意思是去这个地址里的内容,所以=EEEE0000
不知道你看明白没有。
希望楼主先补下汇编语言的基础。相当于才语言中的
ecx = esi

ecx寄存器可理解为变量,esi可理解为指针,整个合起来可以理解为

将esi值+4所指向的内存中的值赋给(mov)寄存器ecx

local.表示基址加偏移 local.41就是偏移量为1H

小地方887 发表于 2016-2-8 22:23

学习同问

冰怜泯灭 发表于 2016-2-8 23:04

lwh15524868334 发表于 2016-2-8 20:28
假设,ESP寄存器的值0012FF10,里面存的内容是0000FFFF,而地址0012FF14的内容是EEEE0000。
...

local 我记得不是局部变量嘛。。 然后 arg是传的参数。

太子 发表于 2016-2-9 11:15

lwh15524868334 发表于 2016-2-8 20:28
假设,ESP寄存器的值0012FF10,里面存的内容是0000FFFF,而地址0012FF14的内容是EEEE0000。
...

mov 的赋值我是知道的   但是您说的local.表示基址   那local这个基址是什么?在哪里查看?

倾城 发表于 2016-2-9 11:15

其实就是个局部变量一般是由某个寄存器加上一个偏移组成的 可以在OD里设置一下让他显示变量就可以看懂了

太子 发表于 2016-2-9 11:21

倾城 发表于 2016-2-9 11:15
其实就是个局部变量一般是由某个寄存器加上一个偏移组成的 可以在OD里设置一下让他显示变量就可以看懂了

OD脱壳脚本怎么使用?

倾城 发表于 2016-2-9 11:45

OD里有运行脚本的命令选和你壳子对应的脚本

太子 发表于 2016-2-9 11:50

倾城 发表于 2016-2-9 11:45
OD里有运行脚本的命令选和你壳子对应的脚本

这个我知道比如说下按钮事件的脚本 下完运行就可以但是脱壳的呢?也是下完之后运行程序吗? 还需要什么步骤?

倾城 发表于 2016-2-9 12:20

运行脚本程就会运行了会到OEP在配合lordpe和REC   
页: [1]
查看完整版本: OD中的脱壳脚本吗怎么使用?