180221 逆向-脱壳技术(4)

最新推荐文章于 2024-02-16 12:33:12 发布
最新推荐文章于 2024-02-16 12:33:12 发布
阅读量245 收藏
点赞数
分类专栏: 逆向和保护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/79644008
版权

1625-5 王子昂 总结《2018年2月21日》 【连续第508天总结】
A. 脱壳技术(4) 重建输入表
B.

重建输入表

外壳程序会破坏原程序的输入表,因此Dump内存以后必须要修复输入表才能正常运行

原理

IAT结构用于保存API的实际地址
PE文件在初始化输入表时,Windows装载器首先搜索OriginalFirstThunk,如果存在,加载程序迭代搜索数组中的每个指针,找到每个IMAGE_IMPORT_BYU_NAME结构所指向的输入函数的地址,然后加载器用函数真正入口地址来替代由FirstThunk指向的IMAGE_THUNK_DATA数组里的元素值。

外壳程序通常会自己起到装载器的作用来填充原程序的IAT,因此需要根据IAT来恢复Dump出来的程序的输入表

有的外壳为了反脱壳,会将原程序的IAT改为自己的Hook函数的地址,这样使得原程序在调用导入函数的时候仍然会把控制权交给外壳,外壳此时可以进行反调试、反Dump等等
应对方法就是跟踪Hook函数的处理方法,得到真正的IAT地址并回填还原

确定IAT的地址和大小

重建输入表的关键就在于IAT的获得,一般程序的IAT是连续排列的,以一个DWORD字的0作为结束,因此只要确定IAT某个点,就能获得整个IAT地址和大小

通过动态调试,找到导入函数的调用时就能发现IAT地址
上下翻动即可找到IAT的头尾,然后Dump出来并进行处理还原IID数组,最后塞到原程序的文件头里即可

ImportREC可以自动完成处理工作,只要告诉它IAT的地址和大小即可重建输入表

C. 明日计划
脱壳技术(5)

奈沙夜影
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
逆向——
wk19951125的博客
05-06 795
逆向——和无的区别的类型区别的关键寻找OEP寻找大跳转SFX功能定位OEP内存执行定位OEPESP定律VB程序快速定位OEP最后一次异常法定位OEP利用常用函数来定位OEP参考文献 #和无的区别 的类型 压缩 加密 虚拟机 区别 入口点改变 区段信息改变 代码段程序隐藏 加程序修改后无法保存 运行后,恢复的程序会将修改的内容覆盖 的关键 寻找OE...
逆向分析技巧总结
关注互联网安全的小虾米一枚
07-26 2487
一.基础知识要点 1.PUSHAD :(压栈) 代表程序的入口点 2.POPAD :(出栈) 代表程序的出口点,与PUSHAD想对应.看到这个,就说明快到OEP了. 3.OEP:程序的入口点,软件加就是隐藏OEP.而我们就是为了找OEP. --------------------------------------- 二.调试过程中辨认快到OEP的方法 下
逆向基础——软件手动技术入门
weixin_34248118的博客
03-08 740
YHZX_2013 · 2015/09/07 14:06这里整合了一下之前自己学习软件手工的一些笔记和文,希望能给新学软件逆向的童鞋们一点帮助。1 一些概念1.1 加的全称应该是可执行程序资源压缩,是保护文件的常用手段。加过的程序可以直接运行,但是不能查看源代码。要经过才可以查看源代码。加是利用特殊的算法,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP 的效...
逆向入门
壊壊的诱惑你的博客
05-21 852
两个入门级的的CTF题目,记录一下。 一、逆向入门题目 1.nSpack 先用IDA打开看看: 可以看到有,而且解析出来的函数很少,对后的文件如下: 可以看到多出了很多函数。 用ESP定律进行,OD打开软件后如图: 可以看到了pushad,压入所有寄存器入栈,F8到调用的函数下在右边的ES...
逆向:初识
yan_star的博客
11-24 1742
逆向:初识
Java逆向破解技术探讨
08-24
技术是指去除程序的保护,以便更容易地进行分析和修改,Java程序通常采用加技术进行保护。反汇编是将机器指令转换为可读的汇编语言的过程,通过反汇编,我们可以了解程序的底层实现细节,包括指令集、寄存器...
iOS逆向工程使用dumpdecrypted工具给App
09-01
iOS逆向工程是一种技术,用于分析和理解iOS应用程序的工作原理,通常用于安全研究、调试或破解。在iOS系统中,AppStore下载的App都进行了加密处理,这就是所谓的“加”,目的是保护应用的代码不被轻易反编译或篡改...
论文研究-Android加固应用技术研究 .pdf
08-17
Android加固应用技术研究,吴博,郭燕慧,随着移动互联网的发展,移动安全加固技术逐步普及,被加固的恶意应用带来的问题日益突出,传统的应用检测在加固应用的逆向分析环
万能工具 - 一款在沙盒中运行的工具
01-27
如果在查后,Unpack按钮可用,则表示可以对当前处理文件进行处理,采用虚拟机技术,您不必担心当前处理文件可能危害系统。 三、PE编辑功能: 本程序主界面可显示被检查的程序的入口点/入口点物理偏移,...
逆向——基本知识
weixin_30297281的博客
06-03 756
基本知识 加程序 1、是什么? 加是可执行程序资源压缩,是保护文件的常用手段。加过的程序可以直接运行,但是不能查看源代码,要经过才可以查看源代码。 2、加的原理是什么?是怎么运作的? 加是利用特殊的算法,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP 的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过Windo...
逆向基础-
AppWhite_Star的博客
07-30 1846
逆向基础-
逆向学习1-[技术]/篇1
m0_52343643的博客
04-21 2506
是包裹在程序外的一层代码,通常先于程序执行,达到防止源程序不被非法修改或反编译的目的 的分类 分为压缩和加密 压缩 压缩主要是帮助减少PE文件(Windows下的文件格式)大小,隐藏PE文件内部的代码和资源 常见的压缩有:Upx、ASpack、PECompat 加密 加密应用有多种防止代码逆向分析的技术,用该的PE文件会比原文件大很多,有时恶意程序也用加密来降低杀毒软件的扫描 常见的加密有:ASProtector、Armadillo、EXECryptor、T.
2018/5/16 逆向的几个方法(单步跟踪,ESP定律,使用出口标志,SFX方法)
startr4ck
05-16 1566
来自于西普实验吧在线实验单步跟踪法破解Aspack条件:一般是不是很复杂的程序方法:通过载入程序,当程序弹出点击事件框的时候就重新od载入,因为当点击事件框出现的时候意味着程序已经进入了oep当中。所以当不断进入call当中去寻找oep所在位置,中间遇到跳转使用f4进行标记汇编命令再运行就可以跳转。找到之后进行运行,删除分析,使用od的调试进行有两种方法分别都采用一次。得到两个文件都进行保存,...
逆向——暴力破解
weixin_30685029的博客
06-21 438
暴力破解 原理: 以后,如果软件有登录机制,我们可以利用软件登录时提供的关键字,反汇编后找到关键跳转。 确认跳转是否与登录失败有关,如果有关系,想办法让跳转不实现。 直接修改汇编代码,把关键命令跳转修改为nop,就可以去除登录验证了。 实验过程: 尝试运行 发现关键词False PEiD查不出,用OD调试 Ctrl+g 00401000来到代码段 右键中文搜索引擎,搜索关键字Fal...
逆向破解程序-压缩
iqiqiya的博客
04-11 6046
一、普及What?所谓“”就是专门压缩的工具。   这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩,的压缩指的是针对exe、com、和dll等程序文件进行压缩,在程序中加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非法修改和反编译,这段如同保护层的代码,与自然界动植物的在功能上有很多相似的地方,所以我们就形象地称之为程序的。WHY?① 对程序专门进行...
爬虫进阶(安卓逆向)加加固-方法-破解腾讯乐加固-破解app请求token(3)
稳稳C9的博客
07-04 2084
爬虫进阶(安卓逆向)加加固-方法-破解腾讯乐加固-破解app请求token(3)
通过手动给upx去简单了解逆向
A_991128a的博客
08-27 2212
对于像我这种想入门逆向的,这种方式真的可以培养兴趣,也从中学到了很多知识,我也不会仅仅止步于upx的。[外链图片转存中…(img-xkCBlSoD-1693021558445)]即可。对于像我这种想入门逆向的,这种方式真的可以培养兴趣,也从中学到了很多知识,我也不会仅仅止步于upx的。
逆向分析之
最新发布
m0_51227834的博客
02-16 493
计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。他们附加在原程序上通过Windows加载器载入内存后,先于原始程序的执行,得到控制权,执行过程中对原始程序进行解密和还原操作,还原后再把控制权交给原始程序,执行原来的代码部分。可以划分为压缩和加密,压缩侧重于压缩体积,加密侧重于加密,二者的出发点是不一样的。常见的压缩有upx、ASPack等,常见的加密有ASProtect、Armadillo等。
一个软件如何逆向解析
07-13
软件逆向工程是一种研究和分析软件的方法,但需要注意的是,这些活动可能涉及到侵犯软件的版权和法律问题。在进行任何逆向工程前,请确保您遵守适用的法律法规,并且只对您有合法所有权的软件进行操作。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值