菜鸟学习ESP定律脱PECompact 2.x壳

想要飞de更高

好 我按照兄台的方法 终于脱出来了
但方法有点出路
在
00401000 >  B8 F80A5900     MOV EAX,SuperRam.00590AF8　　　　　　　 ; 停在此处
00401005    50              PUSH EAX
00401006    64:FF35 0000000>PUSH DWORD PTR FS:[0]　　　　　　　　　 ; F8到此
0040100D    64:8925 0000000>MOV DWORD PTR FS:[0],ESP　　　　　　　　; 下断 HR ESP
00401014    33C0            XOR EAX,EAX
00401016    8908            MOV DWORD PTR DS:[EAX],ECX
00401018    50              PUSH EAX
00401019    45              INC EBP
0040101A    43              INC EBX
0040101B    6F              OUTS DX,DWORD PTR ES:[EDI]               ; I/O 命令
0040101C    6D              INS DWORD PTR ES:[EDI],DX                ; I/O 命令

按f9到达的是00401016也就跳了3行 不是你说的
00590B27    83C4 04         ADD ESP,4
然后我再按了次f9 不能运行
shift +f9 忽律异常达到的地方也不是00590b27
但后面我也是一路按 f8下来 终于看到了
push  ebp
可以dump拉
有个问题
是不是看到 push ebp就是到达了oep标志
还有
为什么不一开始下短点  hr  0012ffa4
还要运行几行到  esp是 0012FFC0才下这个短点
有什么根据啊

qq263

在学习一次啊。。。。

nioyun

ESP真的很有用啊。。。。我也脱不少了。。。学习中。。

pgailnew

看完了這一篇,我突然有一個問題
對ESP下断点大部分是使用HR ESP
可是在飄云大大發表的ESP定律详解
https://www.chinapyg.com/viewthread.php?tid=170&highlight=esp
使用HW來下断点
請問大大們,HR和HW二者的差別

野猫III

原帖由 pgailnew 于 2006-9-14 04:57 发表
看完了這一篇,我突然有一個問題
對ESP下断点大部分是使用HR ESP
可是在飄云大大發表的ESP定律详解
https://www.chinapyg.com/viewthread.php?tid=170&highlight=esp
使用HW來下断点
請問大大們,HR和HW二者 ...

试试。。。

如果功能一样的话，那个都可以用。受教啦。

wzwgp

原帖由 野猫III 于 2006-9-14 08:06 发表


试试。。。

如果功能一样的话，那个都可以用。受教啦。

http://bbs.pediy.com/showthread.php?threadid=10829

硬件断点的原理 作者:Lenus

野猫III

原帖由 wzwgp 于 2006-9-14 09:34 发表


http://bbs.pediy.com/showthread.php?threadid=10829

硬件断点的原理 作者:Lenus

不明。。。

caterpilla

学习。。。。。。。。。