180220 逆向-脱壳技术(3)

最新推荐文章于 2024-05-28 09:52:31 发布
最新推荐文章于 2024-05-28 09:52:31 发布
阅读量425 收藏
点赞数
分类专栏: 逆向和保护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/79644006
版权

1625-5 王子昂 总结《2018年2月20日》 【连续第507天总结】
A. 脱壳技术(3)抓取内存映像
B.

抓取内存映像

又叫转存、Dump
就是把内存中的指定数据保存为文件,写入磁盘中

脱壳时,如果将解密后的原程序dump出来,就得到了原程序的核心部分,只要修复IAT等部分就基本还原了

而在何时dump文件是有一定技巧的。
一般在OEP处dump。
如果运行以后dump,那么一些存储在内存中的变量的值已经发生了变化,则跟原程序就具有了一些区别了

Dump工具有LordPE、ProcDump、PETools等
原理一般是通过CreateToolhelp32Snapshot函数获得快照,Module32Next可以逐个访问进程链表,取得进程的信息

选择想要dump的进程后调用ReadProcessMemory来读取进程内的数据,读取成功以后通过不同的方式来添加文件头

  • ProcDump读取IMAGE_DOS_SIGNATURE和IMAGE_NT_SIGNATURE是否完整,如果完整就直接保存,不完整则会根据xzExePath字段打开进程的原始文件来读取文件头并保存
  • LordPE更简单,直接读取原始文件的文件头

Anti-Dump

反转存技术,就是壳对Dump的对抗

  1. 修改SizeOfImage
    Dump文件时,一些关键参数是通过MODULEENTRY32结构快照获得的,因此可以在modBaseSize和modBaseAddr字段中填入错误的值,让Dump软件无法正确读取进程的数据
    相应的,LordPE也加入了反制的功能:correct ImageSize功能可以自动修正modBaseSize的值
  2. 修改内存属性
    当PE文件被加载到内存中时,所有区段的属性都是可读的,因此才会被ReadProcessMemory读取出
    因此可以修改一些程序不需要访问的内存,例如文件头,的属性为不可读,将会使得Dump软件无法读取内存
    对抗方法是同样修改内存属性,通过注入程序来设置也可以,OD之类的调试器也可以,之后再用Dump读取就可以了

C. 明日计划
脱壳技术(4)

奈沙夜影
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
逆向分析脱壳技巧总结
10-30
逆向分析脱壳技巧总结,其中汇集了逆向分析所需要用的各种方法和技术总结,对于初学者有很好的学习帮助。
梆梆加固脱壳解密sign
AMarin的博客
10-04 1584
2023.10梆梆免费版脱壳
逆向学习1-[脱壳技术]/篇1
m0_52343643的博客
04-21 2562
壳 壳是包裹在程序外的一层代码,通常先于程序执行,达到防止源程序不被非法修改或反编译的目的 壳的分类 壳分为压缩壳和加密壳 压缩壳 压缩壳主要是帮助减少PE文件(Windows下的文件格式)大小,隐藏PE文件内部的代码和资源 常见的压缩壳有:Upx、ASpack、PECompat 加密壳 加密壳应用有多种防止代码逆向分析的技术,用该壳的PE文件会比原文件大很多,有时恶意程序也用加密壳来降低杀毒软件的扫描 常见的加密壳有:ASProtector、Armadillo、EXECryptor、T.
逆向基础:软件手动脱壳技术入门
最新发布
2401_84206094的博客
05-28 905
最后一次异常法的原理是,程序在自解压或自解密过程中,可能会触发无数次的异常。如果能定位到最后一次程序异常的位置,可能就会很接近自动脱壳完成位置。现在最后一次异常法脱壳可以利用Ollydbg的异常计数器插件,先记录异常数目,然后重新载入,自动停在最后一次异常处。
逆向基础-脱壳
AppWhite_Star的博客
07-30 1869
逆向基础-脱壳
壳的机制以及脱壳技术
weixin_41487541的博客
04-12 2070
0 壳的概念 壳是用来保护计算机软件不被非法修改或编译的程序; 其附加在原始程序上,通过Windows加载器载入内存后,先于原始程序执行以得到程序控制权,在执行过程中对原始程序进行解密、还原,还原后把控制权还给原始程序,执行原来的代码; 由于壳能保护自身代码,许多木马和病毒都喜欢用壳来保护及隐藏自身; 对于一些流行的壳,杀毒引擎能先对目标软件进行脱壳,再进行病毒检查。对大多数私人壳,杀毒软件不会专门开发解压引擎,而是直接把壳当成木马或病毒来处理; 处于不同的目的,壳可以分为压缩壳(减小软件的体积)
Apk脱壳圣战之---如何脱掉“梆梆加固”的保护壳
云守护的专栏
02-22 4189
一、前言 现如今Android用户的安全意识不是很强,又有一些恶意开发者利用应用的名字吸引眼球,包装一个恶意锁机收费的应用,在用户被骗的安装应用之后,立马手机锁机,需要付费方可解锁。这样的恶意软件是非常让人痛恨的。所以本文就用一个案例来分析如何破解这类应用,获取解锁密码,让被骗的用户可以找回爽快! 二、分析软件锁机原理 本文用的是一款叫做:安卓性能激活.apk,关
iOS 底层原理逆向脱壳实战-课件
09-09
"iOS 底层原理逆向脱壳实战-课件"是针对这一主题的专业学习资料,涵盖了多个关键知识点。 首先,让我们来探讨一下07-theos.pdf和07-theos.pptx,这两个文件可能涉及到Theos工具的使用。Theos是一个用于iOS平台的...
第31章-脱壳简介1
08-03
学习脱壳不仅可以增强逆向分析技能,还能帮助我们理解壳的运作机制,以便于开发更有效的反逆向技术或找到绕过壳的方法。然而,值得注意的是,每个壳都有其独特的实现方式,因此掌握一种壳的脱壳方法并不意味着可以...
脱壳实例-易语言
12-07
本文将详细探讨“脱壳实例-易语言”,包括易语言的编译方式以及如何处理脱壳技术。 易语言是一种中文编程语言,它的设计目标是使编程更加简单、直观,尤其适合初学者。易语言提供了两种编译方式:独立编译和非独立...
脱壳精华 破解 逆向 反调试
04-07
脱壳 破解 逆向 暴破 追注册码 关于脱壳的精华文章。只要是介绍一些反调试技术
梆梆企业版加固防dump相关文件
12-17
相关使用请参考博文: http://blog.csdn.net/oooaooo/article/details/78737272
逆向破解万能脱壳工具.rar
03-31
逆向破解万能脱壳工具,常见壳都能自动脱
梆梆企业版加固防篡改相关文件
12-07
相关使用请参考博文: http://blog.csdn.net/oooaooo/article/details/78737272
360、爱加密、梆梆去壳辅助工具
04-01
DroidSword快速锁定具体的方法类名、FDex2_1.1去壳获取dex、GDA3.62查看去壳后的源代码
Java逆向破解技术探讨
08-24
脱壳技术是指去除程序的保护壳,以便更容易地进行分析和修改,Java程序通常采用加壳技术进行保护。反汇编是将机器指令转换为可读的汇编语言的过程,通过反汇编,我们可以了解程序的底层实现细节,包括指令集、寄存器...
脱壳方法总结
宗泽的博客
06-09 9380
一、单步跟踪法   脱壳的方法有很多,先来讲脱壳方法中最基础的单步跟踪法。单步跟踪法就是利用OD的单条指令执行功能,从壳的入口一直执行到OEP,最终通过这个OEP将原程序dump出来。然当,在单步跟踪的时候需要跳过一些不能执行到的指令。   使用单步跟踪法追踪OEP的常见步骤:   1、用OD载入待脱壳文件,如果出现压缩提示,选择“不分析代码”;   2、向下单步跟踪,实现向下的跳转;   3、遇...
如何脱掉“梆梆加固”的保护壳
xiziyunqi的博客
08-23 3629
一、jadx分析 1.在source code中的包名看到是梆梆加固(得先脱壳了) (哦!receiver可以用来提示请求获取permission)2.清单文件看到利用了设备管理器权限,来强制修改了系统密码来做的,我们通过打开软件也可以确定这点: 看到了,他申请了设备管理器权限,而这个权限用过的同学都知道,当获取到这个权限之后可以控制这个设备了,包括修改系统密码。而这个软件也是利用这

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值