• 标 题:【小技巧】 使SoftICE在程序入口处停下来的一个办法 (484字)
  • 作 者:blowfish
  • 时 间:2001-10-16 11:59:05
  • 链 接:http://bbs.pediy.com

由于加过壳的程序的section characteristics一般都被改了,所以用SoftICE symbol loader加载被加壳了的exe后无法停在程序的入口处,而是立即运行了。

一般是采用修改section characteristics为E0000020或者将入口指令改为int 3的办法,但难于躲过CRC校验。

在Win2K下可以按照下面的方法使得程序在入口处停下:

1、用pe editor得到加壳后的入口为xxxxxxxx。
2、BPX LoadLibraryA
3、用symbol loader加载被加壳了的exe,第一次中断后处在系统的rpcrt4.dll中。
4、清除断点,设断点 BPM CS:xxxxxxxx X 即可。