壳
code_greenhand
这个作者很懒,什么都没留下…
展开
-
脱壳
脱壳 我们知道压缩壳实现原理了,所以大概知道怎么拖了,只要我们找到解压后的代码入口点,在把他dump下来基本上就成功一半了,因为dump下来的IAT此时存放的是函数地址,而不是函数名的RVA,而且你也不知道对方有没有抹掉导入表,所以需要修复导入表 脱壳步骤大致如下 查找OEP OEP的识别:经验、案例收集 1.1 VC编译程序的OEP:API断点QueryPerformanceCounter...原创 2019-12-02 00:52:33 · 1317 阅读 · 0 评论 -
压缩壳的实现
壳的分类 压缩壳:减少PE体积 代表:UPX 加密壳:代码混淆 壳界4大金刚:encryptedPE(VMPprotect)、 穿山甲(armdillo)、themida、asprotect 压缩壳 压缩完的PE文件提供两个节 第一个节:空节,大小大于原PE文件的节区总大小,用来放解压后的节区数据 第二个节:放解压缩代码和压缩后的数据 程序运行,装载压缩后的PE 压缩后的PE从伪程序入口点(解压缩...原创 2019-12-01 23:36:59 · 1697 阅读 · 1 评论