遇到跑飞的CALL在下面按F4它就会运行,没法跟踪
在使用脱壳8法的方法脱壳时,单步跟踪遇到跑飞的CALL,然后再下一行F4,但是一按F4还是运行了,用SFX的方法重载之后没有任何反应,模拟跟踪也是没反应,用异常法Shift+F9按一次就运行了,这是什么情况我也来学习学习! {:5_117:}遇到跑飞的CALL 不跟进么 55657353 发表于 2017-3-20 16:20
遇到跑飞的CALL 不跟进么
进去了,里面跑飞的好多,就想先不跟进向下看看,但在下面F4它就运行了,没法跟了 查的什么壳 先下一个F2再F4 可能一、这个call里面有main函数,也就是程序真正的入口函数,程序运行的时候这个call还没有退出。在这个call的下一条指令下断,然后退出程序,如果此时程序中断,则说明以上判断正确。
可能二、壳在这个call里面修改了流程,比如:
push XXXXXXX
ret
之后就会跳到指令XXXXXXX。
可能三、很多很多可能的。
建议:追进这个call,然后具体问题具体分析 55657353 发表于 2017-3-20 16:44
查的什么壳
UPX -> www.upx.sourceforge.net 查的这个 如果确定UPX还能跑飞。。。。。你可能用了假OD 你看看是不是假UPX吧{:5_116:} 伪装壳
页:
[1]
2