内存镜像法一般用于稍微复杂的脱壳,在本例中不是很适用,但也能找到OEP。
如果在资源段加一个断点,第一次访问资源段地址的是脱壳程序。
首先用Ollydbg打开notepad.exe文件
在菜单栏的【选项】,选择【调试设置】,然后切换到【异常】标签页
勾选该页上的各种忽略异常,然后关闭
按下Alt+M键打开内存镜像,找到notepad的资源段,也就是
地址=00407000,大小=00005000的.rsrc段,也就是第一个看到的.rsrc资源段,选中这行按下F2设置断点
然后按下F9运行,程序执行到了0040D75F处
然后再按Alt+M打开内存镜像,在.rsrc上面的.text代码段(也就是notepad的代码段)按F2设下断点。
继续按下F9运行。
正常情况下,这次F9运行会到达OEP继续执行,但是对于这次的notepad.exe我们运行后会弹出一个提示框。
提示称应用程序发生异常,位置为004010CC,那么实际上004010CC也就是我们的OEP了.
我们选择取消,进行程序调试。
因为我设置为Ollydbg为默认调试器,提示称无法继续附加到我们调试的这个进程(windows一次只能调试一个进程)
我们关闭这个弹出的Ollydbg,回到原先的调试的Ollydbg里
会发现我们已经到达了OEP。
右键【分析】选择【从模块中删除分析】后,就是OEP处的真正代码了