加壳脱壳
文章平均质量分 86
虾仁炖猪心
emmmmmm
展开
-
脱壳后的PE文件的优化
资源的重建有些软件脱壳后的资源不可查看,不能编辑或编辑后保存不了,这是因为在脱壳后资源没有完全释放。例如,ICON图标、Group icon(组图标)等在程序没有被执行时仍然会被系统读取,但他们一般是不能压缩的,因此被存放在外壳本身的代码空间中。正常脱壳后,资源段的其他数据都已恢复,但是图标等资源还留在外壳。所谓资源重建,就是把这些资源移回.rsrc区块。首先将实例程序RebPE.exe进行脱壳(该实例程序链接放在文章末尾)。脱壳后我们用Resfixer(该软件以及下main要用的软件的链接都放在文原创 2020-05-25 23:05:40 · 955 阅读 · 0 评论 -
DLL文件脱壳
博客中用到的例子和某些程序的链接在文章末尾。对DLL文件进行脱壳的原理和对普通PE文件进行脱壳的原理其实是差不多的,就是多了一个构造重定位表的步骤。因为DLL文件都是映射到其他进程的地址空间中,所以基址很有可能不是默认基址。而壳又会破坏原来的重定位表,所以我们脱壳后需要手动构造一个新的重定位表。第一步,也是需要像脱普通PE文件的壳一样,先找到OEP,然后再把镜像文件给Dump下来。但是因为重定位的关系,我们又希望脱壳后的文件尽量和脱壳前的一样,所以我们就需要找到壳中进行重定位的那一段代码,然后将其跳原创 2020-05-19 23:15:46 · 9581 阅读 · 3 评论 -
使用LordPE和Import REC脱壳
本博客用到的资源链接放在博客末尾。LordPE是一款能够抓取内存映像的用来脱壳的软件,它能够把一个进程的内存数据给Dump下来,然后保存为文件。光了解一个软件的用处用起来如果出问题还是会比较头疼,所以这里简单说一下LordPE软件的原理。该软件其实也是调用了系统的API。它首先调用CreateToolhelp32Snapshot函数来获取一个系统中的进程的快照。然后再用Module32...原创 2020-04-18 17:35:46 · 4455 阅读 · 0 评论