官方系列教程的第一季第七课【ESP定律】
本帖最后由 提笔只两行 于 2025-9-10 21:37 编辑跟着教程一步一步走,发现根本不一样,因为出现的界面不一样,我也知道,学习是学个过程,界面不一样,过程都是一样的,但是到了这一步完全蒙了
先上我跟着教程走的步骤图:
这个是我照着教程载入odl然后选择否,按下F8的界面
这个是教程的图片,虽然界面不一样,但是都是只出现了ESP和EIP数值变化了,并且只有他们两个为红色。
这一步是在寄存器窗口里的ESP这里右键,选择“数据窗口中跟随”这是我的界面,跟着操作也没有问题
点击之后就跳到了左下角这块,这个是我的操作界面。然后官方的教程里面选择的紫色为什么是选择那一行,和我的界面完全不一样,后面完全就跟不上了,因为我到这个界面实在是不知道该选择哪一行去断点了
static/image/hrline/1.gif
这个是官方教材的文字说明
然后我们在左下角的位置,注意左下角紫色部分(紫色部分是我选中让大家看的更清晰,并不是自动出现的紫色)
右键--断点--硬件访问--Word
下图这一步,也就是在最下面的Command窗口中输入HR 0012FFA4,直接进行断点。
static/image/hrline/1.gif
为什么选的是280293哪一行 看图最左下面官方的紫色部分哪一行和我的界面完全不一样了 我不知道下一步我该怎么做了,我的界面完全就没有出现这些数字。完全跟不上了,请各位大佬解惑。
因为实在不知道选哪一行,我也就是随便选了一个跟着后面去断点什么的 完全不一样了,最终的结果是壳也没有脱掉,程序也打不开了
你前面的操作都没有错,找到 30 C4 4A 那一行后,第一字节上设置硬件断点(Byte)就可以了
然后 F9 会中断在 4ACFC5,后面就跟教程一样了
你还是应该看一些 ESP 原理的教程,网上有很多的,例如:
http://www.360doc.com/content/24/0315/19/170868_1117293858.shtml
你这是白的不能再白了
esp断点实际上是为了找到原文件的入口,俗称OEP,你可以不必学习这个内容。如果人家用主流的VMP壳子,这个方法没法用,直接学OEP定位更好 三斤回锅肉 发表于 2025-9-10 21:38
你这是白的不能再白了
是的 所以从最基础的教程开始才学 aゞ烛火 发表于 2025-9-10 22:13
esp断点实际上是为了找到原文件的入口,俗称OEP,你可以不必学习这个内容。如果人家用主流的VMP壳子,这个 ...
因为是小白 没有任何基础所以才跟着教程一步一步来{:6_225:} lies 发表于 2025-9-10 23:58
你前面的操作都没有错,找到 30 C4 4A 那一行后,第一字节上设置硬件断点(Byte)就可以了
真的好了 太感谢了 原来是应该要选你说的第一个字节,而不是整行,而且要选择bite,而不是word。关键点在这里 你这个太清晰了 感谢大佬解惑 本帖最后由 提笔只两行 于 2025-9-11 16:13 编辑
lies 发表于 2025-9-10 21:33
你前面的操作都没有错,找到 30 C4 4A 那一行后,第一字节上设置硬件断点(Byte)就可以了
不好意思,又来麻烦你了,我早上不知道怎么捣鼓了,就成功了,这会又重新弄又不会了,这个是官方教程文字:凡是向上的跳转,我们就用鼠标选中他的下一行,按下F4,让程序直接到跳转的下面。
然后单步走1次以后,又是一个跳转,但这个跳转没有箭头的指向,是一个无条件跳转。JMP!
这是一个大跳转,我们必须跳过去,因为这有可能就是跳到了程序的OEP(OEP就是程序入口)
如果不是OEP,大不了我们从新来过!
用鼠标选中他的下一行 是选择sub esp,-0x80 这行吗 我选择了之后一直在跳 但是根本跳不下去
lies 发表于 2025-9-10 21:33
你前面的操作都没有错,找到 30 C4 4A 那一行后,第一字节上设置硬件断点(Byte)就可以了
大佬 我早上不知道怎么弄的 虽然成功了但是不知道是怎么成功的,这块还是有点疑惑,麻烦能不能帮我解答一下,我发的评论需要审核,一直没有审核,所以我又重新评论请教一下
这个是官方教程文字说明:凡是向上的跳转,我们就用鼠标选中他的下一行,按下F4,让程序直接到跳转的下面。
然后单步走1次以后,又是一个跳转,但这个跳转没有箭头的指向,是一个无条件跳转。JMP!
这是一个大跳转,我们必须跳过去,因为这有可能就是跳到了程序的OEP(OEP就是程序入口)
如果不是OEP,大不了我们从新来过!
https://www.52hb.com/data/attachment/forum/201410/12/043817ljt1qjsospsrt3q1.png这个是官方图片教程
【凡是向上的跳转,我们就用鼠标选中他的下一行】。这一句是不是就是选择sub esp,-0x80就可以,我选择的这一行,困在这一行了,一直循环跳,跳不到jmp,然后我直接就用鼠标选择jmp那一行去按后面的教程走,发现保存后的程序打不开,以下是我的截图 ,麻烦帮忙看一下
https://s1.locimg.com/2025/09/11/71e416424c130.jpg
https://s1.locimg.com/2025/09/11/4ca4fc9780583.jpg
https://s1.locimg.com/2025/09/11/4ca4fc9780583.jpg
https://s1.locimg.com/2025/09/11/8d00ee6059b33.jpg 提笔只两行 发表于 2025-9-11 17:03
大佬 我早上不知道怎么弄的 虽然成功了但是不知道是怎么成功的,这块还是有点疑惑,麻烦能不能帮我解答 ...
那你就改变标志位让他不跳就下去了