由于加过壳的程序的section characteristics一般都被改了,所以用SoftICE symbol loader加载被加壳了的exe后无法停在程序的入口处,而是立即运行了。
一般是采用修改section characteristics为E0000020或者将入口指令改为int 3的办法,但难于躲过CRC校验。
在Win2K下可以按照下面的方法使得程序在入口处停下:
1、用pe editor得到加壳后的入口为xxxxxxxx。
2、BPX LoadLibraryA
3、用symbol loader加载被加壳了的exe,第一次中断后处在系统的rpcrt4.dll中。
4、清除断点,设断点 BPM CS:xxxxxxxx X 即可。
- 标 题:【小技巧】 使SoftICE在程序入口处停下来的一个办法 (484字)
- 作 者:blowfish
- 时 间:2001-10-16 11:59:05
- 链 接:http://bbs.pediy.com