5.5 针对Themida 2.x快速定位OEP

https://scz.617.cn/misc/201505221525.txt

A:

1)

OllyDbg加载xxx.exe，停在"System startup breakpoint"，7CXXXXXX

2)

F9运行，停在"Program entry point"，007EXXXX

3)

Alt-M，针对code下内存写断点，F9运行直至命中，006EXXXX，取消内存写断点

4)

"bp GetProcessHeap+C"，F9运行直至命中，7CXXXXXX，F2取消断点

5)

针对code下F2断点，F9运行直至命中，此时停在OEP或OEP后面第一个CALL里，我这儿是0059XXXX

第5)步的F2断点与第4)步的F2断点不是同一类型的断点。第4)步的是软件断点，INT3。第5)步的是"Single-shot break on memory access"，是一种特殊的内存访问断点，命中后自动删除。