![](https://img-blog.csdnimg.cn/20201014180756916.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
脱壳
god00
这个作者很懒,什么都没留下…
展开
-
RVA、VA、RAW、偏移量
VA,虚拟地址,也就是程序被加载到内存中的地址RVA,以虚拟地址前边加上个“相对的”,也就是说它还是按虚拟地址来换算,只不过不是从0开始,而是把一个模块的基址作为参考点。RAW ADRRESS,或者FILE OSSFET,一般称文件偏移,你把一个文件看成一个连续的字节流,OFFSET就是这个字节流中的位置。换算关系为:将VA减去MODULE的BASE就是RVA的值。RVA与OFFSET的关系,是通过每个SECTION内领衔量相等为换算的。举例来说,假设一个EXE文件,BASE为0x00400000,第一个S转载 2011-03-02 10:32:00 · 4578 阅读 · 0 评论 -
甲壳虫脱壳教程笔记七(脱加密壳)
<br />一.如何分辨加密壳:<br />壳分为加密壳和压缩壳,压缩壳目的是减少软件的体积便于在网上传播,而加密壳目的是防止软件被脱壳和破解,所以加密壳全部有反跟踪代码<br />,会有许多SEH陷阱使OD调试时产生异常.也就是说在跟踪过程中很容易导致程序运行,使你无法跟踪分析.而压缩壳相对比较容易,脱壳也比较简单,一般没异常出现.<br /> <br /><br />二.脱加密壳的相关知识要点:<br />在加密壳中,变形CALL比较多,遇到变形call要F7代过,区别是否是变形Jmp的一个简单方法是比转载 2011-03-02 09:52:00 · 2179 阅读 · 0 评论 -
各种编程语言入口点特征码
Microsoft Visual C++ 6.000496EB8 >/$ 55 PUSH EBP ; (初始 cpu 选择)00496EB9 |. 8BEC MOV EBP,ESP00496EBB |. 6A FF PUSH -100496EBD |. 68 40375600 PUSH Screensh.0056374000496EC2 |. 68 8CC74900转载 2011-03-02 09:38:00 · 963 阅读 · 0 评论