![](https://img-blog.csdnimg.cn/20201014180756930.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
加密与解密笔记
S1lenc3
https://s1lenc3-chenmo.github.io/
展开
-
第12天:《加密与解密》-注入技术(一)
三种注入方法:静态输入 动态加载 系统机制要求通过干预输入表处理过程加载目标DLL静态修改PE输入表法 直接修改PE文件十六进制数据。备份原IID结构 在原IID区域构造新IID的OriginalFirstThunk、Name、FirstThunk结构 填充新输入表项的IID结构 修正PE文件头的信息进程创建期修改PE输入表法 通过修改PE文件...原创 2019-11-11 18:36:25 · 234 阅读 · 1 评论 -
第11天:《加密与解密》-PE文件格式(四)
资源IMAGE_DIRECTORY_ENTRY_RESOURCE包含资源的RVA和大小。资源目录结构中每一个节点都是由IMAGE_RESOURCE_DIRECTORY结构和紧随其后的数个IMAGE_RESOURCE_DIRECTORY_ENTRY结构组成的。最后两者加起来就是IMAGE_RESOURCE_DIRECTORY_ENTRY结构的数量。Name:最高位为0,表示I...原创 2019-11-10 20:11:07 · 174 阅读 · 0 评论 -
第9天:《加密与解密》-PE文件格式(三)
绑定输入时问了正确预测函数地址。数据目录表的第12个成员指向绑定输入。绑定输入以一个IMAGE_BOUND_IMPORT_DESCRIPTOR(IBID)结构的数组开始。输出表当一个DLL函数能被EXE或另一个DLL文件使用,就叫输出。大部分DLL文件都存在输出表。输出表是数据目录表的第一个成员。IED结构:基址重定位载入时不是默认基地址,则需要重定位,...原创 2019-11-08 21:51:16 · 186 阅读 · 0 评论 -
第6天:《加密与解密》–专用加密软件
专用加密软件就是俗称的“壳”,可以对软件形成一种保护。压缩壳压缩软件一般有UPX,ASPack.加密壳ASProtect 结合各种逆向对抗技术。ArmadilloEXECrypror、Themida 都对关键代码进行虚拟机保护。虚拟机保护将一系列指令解释成bytecode(字节码)后放在一个解释引擎中执行。安全性高,软件运行效率降低。VMProtect简介...原创 2019-11-05 15:29:27 · 155 阅读 · 0 评论 -
第5天:《加密与解密》-PE文件格式(二)
区块区块表区块表紧跟IMAGE_NT_HEADERS,是一个IMAGE_SECTION_HEADER结构数组。告诉编译器将数据插入一个区块:链接器设置合并区块区块的对齐值:FileAlignment定义了磁盘区块的对齐值,是200h的倍数,不足补00h。SectionAlignment定义了内存中的对齐值,是1000h的倍数,不足补00h。.NET文件的...原创 2019-11-04 13:19:51 · 149 阅读 · 0 评论 -
第2天:《加密与解密》-PE文件格式(一)
先看看PE文件格式的大致布局:基本概念PE文件使用的是一个平面地址空间,所有代码和数据都合并在一起,组成一个很大的结构。基地址PE文件载入内存后,会映射文件内存,出事内存地址称为基地址。不能被映射的数据被放在文件的尾部。一般,EXE文件的基地址为400000h,DLL文件的基地址为10000000h虚拟地址PE文件被映射到内存中,每个程序有自己的虚拟空间,这个虚...原创 2019-11-01 18:24:56 · 262 阅读 · 0 评论 -
第1天:《加密与解密》-Win32调试API
Win32自带了一些API函数,提供了相当于一般调试器的大部分功能,这些函数统称为Win32调试API,可以获得被调试的程序的底层信息,可以对被调试的程序进行任意修改。调试事件发生调试事件,系统将通知调试器来处理这个事件,调试器利用WaitForDebugEvent函数获取目标进程的相关环境信息。WaitForDebugEvent收到调试事件时,调试事件的信息会被写入DEBUG_EVE...原创 2019-10-31 16:15:38 · 209 阅读 · 0 评论