加壳程序无法准确读输入表的解决办法

最新推荐文章于 2021-02-22 16:54:18 发布
最新推荐文章于 2021-02-22 16:54:18 发布
阅读量252 收藏
点赞数
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Simon798/article/details/101347523
版权

这是我自己写的一个简单程序,放到PE工具里观察输入表:
在这里插入图片描述
然后我们随便用一个加壳工具给原本的程序加壳,再次观察它的输入表内容,发现已经有了变化(少了很多):
在这里插入图片描述
所以我们就要尝试脱壳,读取它正确的输入表内容,下面以 “租号玩.exe”(假的) 这个程序为例。首先用 PE 工具查壳,发现是 UPX(顿时有了信心 ? )
在这里插入图片描述用 OD 打开 租号玩.exe ,选择 “否”
在这里插入图片描述我们尝试使用 ESP 定律法脱壳,留意 ESP 的值:
在这里插入图片描述
单步 F8 一次,发现 ESP 有变化:
在这里插入图片描述
数据窗口中跟随 ESP,在这个地址下硬件访问断点:
在这里插入图片描述
F9 运行程序,在如下位置断下:
(留意我下断点的红色地方,这个 jmp 是一个大跳转,很可疑)
在这里插入图片描述
记录下 jmp 的地址,到内存窗口看下,发现这个地址位于 .text区段,说明这里就很可能跳转到了 OEP。
在这里插入图片描述

在这里插入图片描述

跟进去看一看,发现果然是 OEP 的样子:
在这里插入图片描述
然后我们就可以保存找到的 OEP 位置了,在反汇编窗口右键 - 用 OllyDump 脱壳调试进程 - 脱壳。
在这里插入图片描述
再次使用 PE 工具观察,发现已经脱壳成功,而输入表也恢复了正常:
在这里插入图片描述

(-: LYSM :-)
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
UPX使用教程
weixin_33913332的博客
08-11 1万+
UPX是一个通用可执行文件压缩器,由于其具有: 压缩率高:压缩效果优于zip/gzip; 解压速度快:在奔腾133上即可达到大约10MB/秒; 压缩的可执行文件没有额外的内存开销; 安全:可以列,检测和解压可执行文件,压缩和解压缩文件内部都维持有一个校验和; 广域:可以压缩多种可执行文件格式: dos/exe dos/sys dos/com djgpp2/coff w...
(三)利用导入、导出和重定位定位导入函数的地址
systomnet的专栏
05-25 1165
经过分析清单文件,我们知道
Winfrom 程序的一次失败的经历
研究、探索、分享与成长
09-22 7765
也不知道从什么时候开始,C#编写的程序在部分杀毒软件下总是被视为病毒感染者、携带者。作为一个360的资深用户(第一次使用是07年),最开始用它还是在大学时期在电脑城装机的时候,用来清除Ghost系统捆绑的插件和内置启动项。
软件输入处理-解析
dasgk的专栏
09-03 1492
本篇博文说下PE文件中输入的格式和具体的使用,以及在软件中的注意事项(本人菜鸟),高手飘过 IMAGE_IMPORT_DESCRIPTOR STRUC {      union        Characteristics DWORD       OriginalFirstThunk  DWORD      ends     TimeDateStamp DWORD
关于导入
zzx的博客
12-14 927
写一篇关于导入的文章。 逆向脱,找到入口点之后,dump。一般都会遇到要修复导入的问题,因而了解导入就有必要。 首先说一下什么是导入,百度百科给出的解释是 Import Address Table 由于导入函数就是被程序调用但其执行代码又不在程序中的函数,这些函数的代码位于一个或者多个DLL 中.当PE 文件被装入内存的时候,Windows 装载器才将DLL 装入,并将调用
简单的C#程序技术
10-12
简单的C#程序技术
PE.rar_PE 附数据_c#_pe__程序
09-23
标题中的“PE.rar_PE 附数据_c#_pe__程序明这是一个关于PE(Portable Executable)文件格式的压缩包,其中包含与技术相关的资料,特别是使用C#语言实现的程序技术是软件保护的一种...
程序的CC源码.zip.zip
10-19
程序是软件保护技术的一种,它通过在原始可执行文件(称为“裸程序”)外部包裹一层外代码,以实现对程序密、隐藏、反调试等目的。本资源"程序的CC源码.zip.zip"包含了构建程序的源代码,主要面向...
易语言程序.exe
04-29
此软件可以为编写的易语言程序进行处理,非常好用,下载直接打开使用。本软件是良心之作
c#程序 代码混淆
07-28
2. **技术**:是将原始程序(即未密的程序)包装在一个外程序中,这个外程序负责处理载、解密和执行原程序的逻辑。可以提供额外的安全层,防止直接对程序的攻击。例如,可以隐藏原始程序的...
一个查看导入的工具
Dustfly的专栏
02-24 3489
推荐一个查看导入的工具 作者:Sunline              lisunlin0@yahoo.com.cn 日期:2008年02月源代码下载:http://download.csdn.net/user/lisunlin0关键字: PE导入, 完全重定位代码, 无导入程序,        Show Import Table, relocable code
输入:EXE怎么样调用DLL
小猪快跑
11-16 796
** 输入是PE文件结构中不可或缺的部分,输入也称之为“导入”。 首先还得先从DLL文件入手。日常生活中我们会看见一些大型软件有很多的DLL格式的文件,它们是“动态链接库文件”,这些文件中有很多的导入函数,这些函数不会直接被执行,当一个程序(EXE)运行时,导入函数是被程序调用执行的,其执行的代码是不在主程序(EXE)中的一小部分函数,其真正的代码却在DLL文件中。这时我们就
获取任意一个程序输入
追逐梦想,无悔青春
05-27 612
// testPE.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include /************************************************************************/ /* 函数名:RVAToOffset /* 函数功能:根据RVA计算出磁盘文件偏移 /* 函数参数: lpBase:磁盘
手动添导入修改EXE功能
天使也掉毛
10-30 5934
手动添导入修改EXE功能
dll注入器_输入注入
weixin_39654436的博客
11-04 663
前言昨天没有讲拿破轮胎大佬工具的原理,同时工具生成的DLL目前不是免杀的。所以这里讲一下工具的原理。实际上,注入工具会将输入的shellcode进行一个处理,然后将他写入到和 conf.inf文件中,然后 wwwcomw.dll可以看成一个shellcode载器,这里就是分离免杀的原理。工具还帮我完成了修改输入的步骤。然后我们只需要把 wwwcomw.dll和 conf.inf放置到...
高级语言对应的汇编指令
LYSM
06-14 3420
已 c++ 为例 ???? ---------- ???? 定义变量 也就是说单纯的定义一个变量,不给它初始化,系统认为这个变量是没有意义的,就决定不会为它分配内存空间所以自然也不会有对应的汇编代码。或者可以理解为编译器暂时把你定义的变量记录下来但没有通知系统去做一些别的事情。 但是当定义一些被 c++ 封装后的结构类型时,就不一样了: 没错,string 也是! ???? 变量初始化 先来看 bool 类型的初始化: 将 false 对应的值存入变量 b 的地址中,没毛病 ????,如果把 fals
[逆向] x64dbg / od 设置消息断点
LYSM
02-22 2885
背景 很多时候在我们不知道目标程序调用了哪些 api 时,需要使用消息断点粗略的定位关键代码位置。比如在游戏里点击一次鼠标,可以根据这个消息向下跟踪点击完鼠标后游戏执行的逻辑。 方法 一个简单的消息循环是这样的 : while( GetMessage(&msg,NULL,0,0) ) { TranslateMessage(&msg); //将 WM_XXXKEYXXX 消息翻译为 WM_CHAR 消息 DispatchMessage(&
[游戏分析] 游戏逆向
LYSM
02-07 2791
射击类 FPS游戏:实现D3D劫持透视 (API Hook) FPS游戏:实现GDI方框透视 (三角函数)
idae无法定位程序输入
最新发布
06-04
IDA是一款反汇编工具,无法定位程序输入点可能是因为程序的入口点没有被正确地识别。在大多数情况下,程序的入口点是main函数,但有时候可能是其他函数或代码段。以下是一些可能导致无法定位程序输入点的原因: 1. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值