软件壳的原理与DUMP修复原理

最新推荐文章于 2024-03-14 21:54:22 发布
最新推荐文章于 2024-03-14 21:54:22 发布
阅读量310 收藏 1
点赞数 1
分类专栏: Windows逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43312649/article/details/109745299
版权
本文介绍了DUMP修复的基本步骤,包括找到目标进程、确定进程大小、保存进程数据到文件以及修复相对虚拟地址和文件地址对齐问题。此外,还探讨了在内存中直接拷贝DLL时的修复过程,特别是修复IAT表的重要性,以确保API函数的正确指向。
摘要由CSDN通过智能技术生成

DUMP修复原理

根据上面的分析我们基本上得到了一个这样的思维。Dump程序要做的事分几个基本的步骤:

1.在系统中找到目标进程(枚举进程)
2.在进程中确定进程的大小imagesize
3.把进程中的数据保存到文件
4. 把相对虚拟地址(RVA)和文件地址对齐(RA)。
科普一下:在文件中要节约空间,把数据紧密的存储在一切,而靠节表在load到内存中的时候,把在文件中的不同数据分别映射到不空内存空间中,而不足的地方就用0填充。但是当我把这些数据从内存中完完整整的dump下来的时候,我们同样把这些0也dump了出来。所以我们要做的首先应该是调整节表,让他的RA=RVA。这样我们实际上做的就是把RA这个指针移动过了若干个0的空间,从而指向正确的数据。
在这里插入图片描述

从内存中直接拷贝DLL时也会这样修复,只不过是手动的。

  1. 修复IAT表。

IAT中每组数据指向一个API函数,各DLL之间是以000000分开的。
使用ImportREC可以修复IAT表。具体修复过程不再赘述。

摔不死的笨鸟
关注
专栏目录
订阅专栏
mfocgui类dump文件修复 fixdump
11-19
fixdump程序是用于修复mfocgui等等的Windows平台M1卡破解程序导出的dump文件的工具,默认这些工具导出的dump文件只有1k且无法直接打开,用这个工具修复后就会变成4k,用WinHex之类的十六进制编辑器打开就可以正常查看内容。PS:程序需要.NET Farmwork 4.0才能正常工作。——http://bobylive.com Firefly风物
Dump文件修复
qq1010624的博客
06-11 1004
前言 分析木马时经常会碰见dump的恶意代码文件无法直接查看。 一是因为文件数据在内存展开,而区段的属性未修改; 二是因为数据在内存展开后,重定位数据被修改。 因此写个工具进行修复。 说明一下dump内存起始地址为dump恶意代码内存块的起始地址。 一、代码示例 1.文件对齐 //文件对齐 DWORD CFixDumpDlg::GetOffset(DWORD argc) { DWORD a = 0; DWORD b = 0; a = argc % 0x200; if (a
利用Dump文件分析程序Bug
最新发布
qq_42375180的博客
03-14 1601
Dump文件”主要是指在软件运行过程中,当程序发生崩溃或异常终止时,系统生成的包含了程序崩溃时刻的内存、寄存器状态、程序计数器等信息的文件。这些文件对于开发者来说非常重要,因为它们可以用来分析程序崩溃的原因,帮助开发者定位问题所在,从而修复错误。
程序崩溃?教你一招dump文件分析轻松解决
阿花的博客
07-08 1万+
Dump文件是进程的内存镜像。可以把程序的执行状态通过调试器保存到dump文件中。
病毒分析常用技巧-修复内存dump文件
Sven的忘却日记
11-13 3906
病毒常用的技俩之一就是创建一个傀儡进程,借助傀儡进程,执行自己的恶意代码。 其实现方法: 1.以挂起方式创建一个进程 2.写入一个PE文件到这个挂起的进程的内存,可能会使用API WriteProcessMemory或MapViewOfSection那一套API来完成这个操作 3.调用ResumeThread恢复进程执行 对付这种我们可以在它写入数据到目标进程时下断点,例如WriteProcess...
coredump问题原理探究-Linux x86版.rar
08-22
本资料"coredump问题原理探究-Linux x86版"聚焦于Linux环境下,特别是x86架构下的核心转储文件分析,旨在帮助开发者深入理解core dump的工作机制,并提供有效的定位和解决问题的方法。 一、core dump的基本概念 1. ...
《coredump问题原理探究》windows版.rar
08-22
本资源主要面向Windows CE平台,尽管Windows CE与桌面版Windows有区别,但它们的核心dump分析原理是相似的。 首先,我们需要理解core dump的基本概念。在Windows系统中,当应用程序因为各种原因(如除零错误、无效...
Linux Crash Dump的设计与实现.pdf
09-07
【分析与诊断】保存下来的Crash Dump数据通常通过专门的工具进行解析和分析,例如kdump、Systemtap等,帮助开发者找出导致崩溃的具体原因,从而修复问题。这个过程可能涉及到对内核栈回溯、模块状态、内存分配等多...
Heap Dump的IBM分析工具.zip
10-09
在Java开发过程中,内存管理是至关重要的,尤其是对于大型企业级应用来说,内存泄漏可能导致系统性能下降...通过IBM的工具,我们可以深入理解JVM内存的工作原理,及时发现并修复内存问题,从而优化应用程序的运行效率。
转载:Windows程序Dump收集
lizfs_csdn的博客
05-07 480
前面一篇写过《Windbg调试----Windbg入门》,可能不少新手会问,我在本地用Visual Studio去做调试就行了,为什么还需要那么抽象的Windbg去进行调试呢? 那是因为: 客户环境复杂多样, 发布的软件,经常会出现在本地测试无法重现的问题。我们不可能在客户的环境装一个几十G的Visual Studio,那么一般会先通过Debug Log进行初步的分析,但是碰到程序崩溃,程序死锁,内存泄漏等,只利用Debug log去做分析是非常困难的。这个时候需要借助程序dump来做进一步的分析,进程的
dump文件导入表修复工具——Imports Fixer
一个热爱逆向,喜爱学习、分享的猿。
03-21 1163
最近在学习VMP脱,用到了该工具,记录分享一下。 功能: 根据进程的导入表,在该进程的dump文件中分配一块空间,在文件中创建导入表。 下载: 非开源 很多地方可以下载到,这里分享一个csdn下载地址: https://download.csdn.net/download/shadow20080578/85012603 使用前提: 1、导入表被修复好的进程 2、导入表没有被修复好的dump文件 使用方法: 打开主界面 1、在主界面上面选中导入表被修复好的进程 2、主界
的机制以及脱技术
weixin_41487541的博客
04-12 2175
0 的概念 是用来保护计算机软件不被非法修改或编译的程序; 其附加在原始程序上,通过Windows加载器载入内存后,先于原始程序执行以得到程序控制权,在执行过程中对原始程序进行解密、还原,还原后把控制权还给原始程序,执行原来的代码; 由于能保护自身代码,许多木马和病毒都喜欢用来保护及隐藏自身; 对于一些流行的,杀毒引擎能先对目标软件进行脱,再进行病毒检查。对大多数私人,杀毒软件不会专门开发解压引擎,而是直接把当成木马或病毒来处理; 处于不同的目的,可以分为压缩(减小软件的体积)
upx3.94 x64加dump内存并修复过程记录
chilu6000的博客
07-03 1460
最近因为公司的一些事情,要面临重新找工作,希望可以找找逆向相关的工作,但是我以前也只做过反编译的工作,破解之类的工作中完全没有接触过,就想学习学习脱。就先从upx下手。 upx是种压缩,是将原有程序image进行压缩,在生成的可执行程序的entrypoint处代码进行解压,在解压完全后...
DLL文件脱(重定位表修复部分)
yizhenweifeng的专栏
02-15 1万+
标 题:DLL文件脱(重定位表修复部分)作 者:kanxue 时 间:2008-03-16 10:42 链 接:http://bbs.pediy.com/showthread.php?t=61334   13.5 DLL文件脱   DLL文件的脱与EXE文件步骤差不多,所不同的是,DLL文件多了个基址重定位表等要考虑。   在2003年出版的《加密与解密》(第二版)中以
手动修复IAT
weixin_30402085的博客
06-17 783
现在我们已经了解了IAT的的工作原理,现在我们来一起学习手动修复IAT,一方面是深入了解运行过程一方面是为了避免遇到有些阻碍自动修复IAT的时不知所措。 首先我们用ESP定律找到加了UPX后的OEP,现在我们处于OEP处,原程序区段已经解密完毕,我们现在可以进行dump了。 前面已经提到过,有很多dump的工具,OD有一个款插件OllyDumpdump效果也不错,这里我们来使...
菜鸟脱之脱的基础知识(二) ——DUMP原理
banhanjun1518的博客
07-05 640
菜鸟脱之脱的基础知识(二)——DUMP原理当外的执行完毕后,会跳到原来的程序的入口点,即EntryPoint,也可以称作OEP!当一般加密强度不是很大的,会在的末尾有一个大的跨段,跳向OEP,类似一个与程序入口点的“分界线!当我们到达了程序的OEP,我们就需要进行DUMP程序了,那么什么时候去DUMP一个程序呢?这里我引用了fly的一句话!“手动脱理想的最佳dump时机...
【C++软件调试技术】dump文件类型与dump文件生成方法详解
热门推荐
dvlinker的技术专栏
11-22 2万+
dump文件类型与dump文件生成方法详解。
Anti-dump原理
whatday的专栏
02-16 2278
第三章.Anti-dump原理 "我们踏进又踏不进同一条河,我们存在又不存在。"                                                      ----赫拉克利特     事物往往就是这样,它在发展中需要正面的也需要反面的,他们是对立统一在一起的。在前面我们的dump已经基本和一个LordPE的功能差不多了,现在我们要分析一下,一个程序是如何an
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值