壳的加载过程

最新推荐文章于 2022-04-12 12:51:07 发布
最新推荐文章于 2022-04-12 12:51:07 发布
阅读量663 收藏 1
点赞数
分类专栏: 加密与解密 笔记 文章标签: 加密与解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37809075/article/details/78876041
版权
  • 保存入口参数
  • 获取壳自己所需要使用的API地址
  • 解密原程序各个区块的数据
  • IAT的初始化
  • 重定位项的处理
  • HOOK-API
  • 跳到程序原入口点(OEP)
保存入口参数
    加壳程序初始化时保存各个寄存器的值,外壳程序执行完毕,再恢复各个寄存器的值,通常用pushad/popad,pushfd/popfd指令来对保护与恢复现场环境
获取壳自己所需要使用的API地址
    一般外壳的输入表主要是GetProcAddress,GetModuleHandle和LoadLibrary这几个API函数
    LoadLibrary:将DLL文件映像映射到调用进程的地址空间中
    GetModuleHandle:获得DLL模块的句柄
    GetProcAddress:获得函数的地址
解密原程序各个区块的数据
    按照区块加密按照区块解密
IAT的初始化
    加壳时,壳会自己构造一个输入表,并将PE头中的输入表指针指向自建的输入表。PE装载器对自建的输入表进行填写,原来的输入表由壳来填写。
    壳将新输入表结构从头到尾扫描一遍,对每一个DLL引入的所有函数获取地址,填入IAT表中
重定位项的处理
    加壳的DLL比加壳的EXE修正时多一个重定位表
HOOK-API
    壳一般都修改了原程序的输入表,自己模仿装载器来填充输入表。在填充过程中,外壳就可以填充HOOK-API的代码地址,间接获得程序的控制权
跳到程序原入口点(OEP)
每昔
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
进程加载_END.rar
06-24
"滴水三期的进程加载项目代码" 提供的资源很可能是一个关于这个主题的实践案例,让我们深入了解一下相关知识点。 首先,我们要理解什么是“进程”。在操作系统中,进程是程序在执行时的一个实例,它包含了程序的...
浅谈加载步骤及手动脱
zacklin的专栏
05-14 1309
浅谈加载步骤及手动脱。 现在玩脱的人越来越多了,不知道是好事还是坏事。 现在玩手动脱一般三样工具足矣:loader,ImpREC,TRW2000。也许是这三剑客的功能太强大,因此手动脱也变得象流水化作业。大致以下几个步骤就搞定了。 1)loader找OEP.(OEP就是程序原来的入口点,即Original Entry Point) 2)TRW2000来Dump。也就是
的装载过程
weixin_34060741的博客
05-22 53
的装载过程 转载于:https://www.cnblogs.com/LoveFishC/archive/2013/05/22/3846882.html
加密解密(一) -- 、加
qq_36308972的博客
06-01 7031
问题 1、 什么是?它是干嘛的? 2、 有哪些类型? 3、 是怎么加载的? 4、一些可用的类型判断和脱软件的使用 什么是? 加的目的:为了隐藏程序真正的OEP(入口点),防止被破解。 加软件是一种在编译好可执行文件之后,为了一些特定的需求,而做的一些事情,常见需求有: 有一些版权信息需要保护起来,不想让别人随便改动 为了让程序小一点,从而方便使用(把可执行文件进行压缩使用) ...
加载与脱简单介绍
Hu4
03-04 335
简单加载过程 1、保存入口参数:初始化时会保存各寄存器的值。通常用pushad/popad、pushfd/popfd指令对来保存与恢复现场环境。 2、获取本身需要使用的API地址 LoadLibrary函数原型 HMODULE LoadLibrary( LPCTSTR lpLibFileName //DLL文件名地址 ) 返回值:成功则返回模块的句柄,失败则返回“NULL”...
的机制以及脱技术
weixin_41487541的博客
04-12 2070
0 的概念 是用来保护计算机软件不被非法修改或编译的程序; 其附加在原始程序上,通过Windows加载器载入内存后,先于原始程序执行以得到程序控制权,在执行过程中对原始程序进行解密、还原,还原后把控制权还给原始程序,执行原来的代码; 由于能保护自身代码,许多木马和病毒都喜欢用来保护及隐藏自身; 对于一些流行的,杀毒引擎能先对目标软件进行脱,再进行病毒检查。对大多数私人,杀毒软件不会专门开发解压引擎,而是直接把当成木马或病毒来处理; 处于不同的目的,可以分为压缩(减小软件的体积)
apk查工具
04-22
2. **逆向工程基础**:逆向工程师如何通过反编译和动态调试来理解APK的工作原理,以及工具如何阻碍这一过程。 3. **技术原理**:学习不同的加技术,如代码混淆、动态加载、资源加密等,以及它们如何提高代码...
子程序.rar
06-24
2. **动态加载解密**:只在运行时将部分或全部代码解密到内存中,减少静态分析时的可读性。 3. **反调试技术**:检测调试器的存在并采取措施阻止其继续运行,以防止调试过程中的分析。 4. **自定义加密算法**:...
pack.zip_压缩_
09-23
压缩的工作原理通常是这样的:当程序启动时,首先加载的是程序,程序负责解压缩内部的原始可执行文件,然后将其映射到内存中并跳转到原程序的入口点执行。这个过程可以有效地减少文件在硬盘上的占用空间,同时...
易语言查
07-23
5. **内存分析**:运行时,查工具可能需要动态分析程序的内存映像,查看是否有加载的额外模块或异常内存访问模式。 6. **混淆代码识别**:层可能会对原程序代码进行混淆,使得其难以理解。查源码需要具备...
CE+OD无法附加游戏进程的破解方法
11-26
那些所谓的游戏保护 真的只是为难菜鸟而已,对于大鸟基本不起作用. 游戏无法就是采用 线程 进程 SSDT 等等这些东西来限制一些如:CE OD ASM32 这些工具调试而已 比如OD要调试一个程序进程 首先做的是2步操作 1.调用系统库中打开进程的API函数 2.创建新线程来调试程序进程. 当如果 一个游戏出现无法OD附加或者调试失败的情况,那么可以先检查下 这2个方面是否存在问题. 第一:检查SSDT表中的函数是否被修改,
用C++实现的(基础版)
liujiayu2的专栏
11-01 4219
原文链接:https://bbs.pediy.com/thread-206804.htm 最近一直在15PB学习,现阶段学的主要是关于的知识,正好现在也在做这个阶段项目,用了2天的时间实现了一个基础版的C++写的,拿出来跟大家分享一下,代码量不多,但知识点不少,适合新手学习提高~         的流程看上去并不复杂,但需要的是你对PE文件有一定的了解,在了解了一些关于导入
可执行程序加载到内存的过程
热门推荐
Tyrion Lannister's Special column
11-19 1万+
在linux中,程序的加载,涉及到两个工具,linker 和loader。Linker主要涉及动态链接库的使用,loader主要涉及软件的加载。 1、  exec执行一个程序 2、  elf为现在非常流行的可执行文件的格式,它为程序运行划分了两个段,一个段是可以执行的代码段,它是只读,可执行;另一个段是数据段,它是可读写,不能执行。 3、  loader会启动,通过mmap系统调
用进程注入来实现一个(原理)
04-07 1095
作者: Simonzh2000[US]感谢 too2y , 老王.这是我在学习老王的后, 参考网上的一些例子做的。比老王的差的太远, 希望各位不要见笑.如果各位写出了类似的加器, 希望发一个给我。启动前先启动 Calc.exe, 改一下, 用 Explorer.exe 也可以。#define UNICODE#define _UNICODE                          #
程序的
积累点滴,保持自我
12-01 5318
1.: 加的全称应该是可执行程序资源压缩,是保护文件的常用手段. 加过的程序可以直接运行,但是不能查看源代码.要经过脱才可以查看源代码. 加:其实是利用特殊的算法,对EXE、DLL文件里的资源进行压缩。类似WINZIP 的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。 解压原理,是加工具在文件头里加了一段指令,告诉CPU,怎么才能解压自己。现
第1章 静态分析基础技术
好好学习,天天向上
12-22 219
书中的例子 https://practicalmalwareanalysis.com/ https://github.com/mikesiko/PracticalMalwareAnalysis-Labs fakenet模拟网络的工具 https://sourceforge.net/projects/fakenet/ 1 使用反病毒引擎扫描 VirusTotal https://www.vir...
各种的脱法及技巧
weixin_43781139的博客
11-27 879
各种的脱法及技巧 常见脱知识: 1.PUSHAD (压栈) 代表程序的入口点 2.POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个,说明OEP可能就在附近 3.OEP:程序的入口点,软件加就是隐藏了OEP(或者用了假的OEP), 只要我们找到程序真正的OEP,就可以立刻脱 1、模拟跟踪法 无暗桩情况下使用 1.F9试运行,跑起来就无SEH暗桩之类的,否则就有. 2.ALT+M打开内存镜像,找到包含“=sfx,imports reloco tions”字符 3.地.
android简单的加流程
zhou_wenchong的博客
05-08 1873
先简单介绍下加的需求吧,比如一款游戏需要计费处理,如果不想游戏内部改动的话,只能通过加去处理。在apk的代码流程中进行用户鉴权和业务鉴权(即计费处理相关),如果鉴权通过则放开游戏入口,否则提示用户去购买。 提一下加所需要的工具吧 1.apktool,自己百度可以下载一个 2.apk 3.待加apk 下面开始我们的加流程。 1.将apk和待加的游戏apk都放到apkto
winform treeview 刷
最新发布
07-10
需要注意的是,在刷操作过程中,若节点数量较多或者节点数据较复杂,可能会引起性能问题。为了提高刷操作的效率,可以使用BeginUpdate和EndUpdate方法来阻止TreeView的重绘,从而减少刷新的次数。 总结来说,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值