压缩壳
1.压缩数据(压缩函数的调用)
2.处理E8,E9(jmp,call)
3.处理重定位
4.简单处理IAT
5.少许Anti,Anti-Dump
加密壳
1.压缩,加密数据
2.花指令
3.代码乱序
4.anti,Code-Crc-Check,File Crc-Check,Memory Crc-Check,Anti-Dump
5.Stolen Code/Stolen Bytes
6.Vm
7.IAt 加密
8. SDK
脱压缩壳:
1.找数据解压部分
2.找解压函数的参数
3.重头开始跟踪参数的组成
4.分析E8,E9。重定位修复
5.到OE
1.压缩数据(压缩函数的调用)
2.处理E8,E9(jmp,call)
3.处理重定位
4.简单处理IAT
5.少许Anti,Anti-Dump
加密壳
1.压缩,加密数据
2.花指令
3.代码乱序
4.anti,Code-Crc-Check,File Crc-Check,Memory Crc-Check,Anti-Dump
5.Stolen Code/Stolen Bytes
6.Vm
7.IAt 加密
8. SDK
脱压缩壳:
1.找数据解压部分
2.找解压函数的参数
3.重头开始跟踪参数的组成
4.分析E8,E9。重定位修复
5.到OE