使用OllyDBG进行简单的脱壳

;此处有一个POPAD，很有可能快到OEP了，再F7一下

;发现此时ESP为0x12FF8C，和程序开始时一样，而且此处还有一个JMP，再F7一下
00436628 .- E9 AAC3FCFF JMP Clock.004029D7

此时代码为:

        004029D7    55                               PUSH EBP
        004029D8    8BEC                          MOV EBP,ESP
        004029DA    6A FF                          PUSH -1
        004029DC    68 D03A4200             PUSH Clock.00423AD0
        004029E1    68 985E4000             PUSH Clock.00405E98
        004029E6    64:A1 00000000        MOV EAX,DWORD PTR FS:[0]
        004029EC    50                                PUSH EAX
        004029ED    64:8925 0000000     MOV DWORD PTR FS:[0],ESP
        004029F4    83EC 58                     SUB ESP,58
        004029F7    53                                 PUSH EBX

<< 拿到微软MCPD...内存对齐 >>

查看所有评论