180222 逆向-脱壳技术(5)

最新推荐文章于 2019-03-29 01:11:02 发布
最新推荐文章于 2019-03-29 01:11:02 发布
阅读量224 收藏
点赞数
分类专栏: 逆向和保护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/79644013
版权

1625-5 王子昂 总结《2018年2月22日》 【连续第509天总结】
A. 脱壳技术(5) DLL文件脱壳
B.

DLL文件脱壳

简介

Dll是Dynamic Link Library动态链接库的缩写,它与EXE同属PE文件,结构大体相同
但由于无法独立运行,必须借助exe来导入加载,因此相比exe的动态调试起来要麻烦一些

另一方面由于加载基址不定(EXE的加载基址默认都是0x400000),因此需要考虑重定位表的问题

寻找OEP

当DLL被初次映射到进程的地址空间中时,首先调用入口函数DllMain。并且退出时还会再次调用DllMain函数。

外壳由于需要解密原程序的代码,因此之前的若干方法都是一样使用的。
值得注意的是外壳的DllMain需要执行两次,因此可以通过这个特点来进行观察,当Dll卸载的时候最后调用的就是DllMain函数了

由于Dll的基址是由系统动态分配的,因此每次下断的地址都是不同的

Dump和输入表的重建与exe方法相同,再次不赘述,通过工具可以很方便地操作

构造重定位表

对于DLL来说,由于基址不定,导致API的地址是不定的,因此重定位表是必须的。
本来由PE加载器来完成的重定位地址,由于加载时原程序代码未恢复,因此只能由外壳程序来代替进行重定位工作。因此此时的重定位表就会被放到另外别的地方去,并可能被加密/编码等

脱壳时要恢复重定位表,需要根据外壳程序的重定位工作来找到重定位表并修复还原

C. 明日计划
脱壳技术(6)

奈沙夜影
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CrackMe005全破详解
逆向驿站
01-20 674
前言 “CrackMe005,都说比较变态,很多人给放过去了,但是我还是决定上了它,既然变态就分两篇,上篇先实际说流程,到底应该怎么上它,下篇会告诉逆向分析的过程和方法” 版权保护,全文阅读请点击全文链接,谢谢 全文链接 CrackMe005全破详解 https://mp.weixin.qq.com/s/ckx0brqQsfYjYlPwrSKNyg ** 最后喜欢的请关注,定期发布逆向破解、病...
180220 逆向-脱壳技术(3)
whklhhhh的博客
03-21 425
1625-5 王子昂 总结《2018年2月20日》 【连续第507天总结】 A. 脱壳技术(3)抓取内存映像 B. 抓取内存映像 又叫转存、Dump 就是把内存中的指定数据保存为文件,写入磁盘中 脱壳时,如果将解密后的原程序dump出来,就得到了原程序的核心部分,只要修复IAT等部分就基本还原了 而在何时dump文件是有一定技巧的。 一般在OEP处dump。 如果运行以后du...
180221 逆向-脱壳技术(4)
whklhhhh的博客
03-21 246
1625-5 王子昂 总结《2018年2月21日》 【连续第508天总结】 A. 脱壳技术(4) 重建输入表 B. 重建输入表 外壳程序会破坏原程序的输入表,因此Dump内存以后必须要修复输入表才能正常运行 原理 IAT结构用于保存API的实际地址 PE文件在初始化输入表时,Windows装载器首先搜索OriginalFirstThunk,如果存在,加载程序迭代搜索数组中的每...
180219 逆向-脱壳技术(2)
whklhhhh的博客
03-21 278
1625-5 王子昂 总结《2018年2月19日》 【连续第506天总结】 A. 脱壳技术(2)寻找OEP B. 寻找OEP 外壳保护的程序运行时,首先会执行外壳 将原程序解密到内存中,再将控制权转交给原程序来正常执行 无论是脱壳恢复原程序还是调试,都需要找到原程序的入口点,即OEP 找OEP有以下几种方法 根据跨段指令 大多数PE加壳程序会在被加密的程序中加...
逆向分析脱壳技巧总结
10-30
逆向分析脱壳技巧总结,其中汇集了逆向分析所需要用的各种方法和技术总结,对于初学者有很好的学习帮助。
iOS 底层原理逆向脱壳实战-课件
最新发布
09-09
"iOS 底层原理逆向脱壳实战-课件"是针对这一主题的专业学习资料,涵盖了多个关键知识点。 首先,让我们来探讨一下07-theos.pdf和07-theos.pptx,这两个文件可能涉及到Theos工具的使用。Theos是一个用于iOS平台的...
第31章-脱壳简介1
08-03
学习脱壳不仅可以增强逆向分析技能,还能帮助我们理解壳的运作机制,以便于开发更有效的反逆向技术或找到绕过壳的方法。然而,值得注意的是,每个壳都有其独特的实现方式,因此掌握一种壳的脱壳方法并不意味着可以...
脱壳实例-易语言
12-07
本文将详细探讨“脱壳实例-易语言”,包括易语言的编译方式以及如何处理脱壳技术。 易语言是一种中文编程语言,它的设计目标是使编程更加简单、直观,尤其适合初学者。易语言提供了两种编译方式:独立编译和非独立...
Java逆向破解技术探讨
08-24
脱壳技术是指去除程序的保护壳,以便更容易地进行分析和修改,Java程序通常采用加壳技术进行保护。反汇编是将机器指令转换为可读的汇编语言的过程,通过反汇编,我们可以了解程序的底层实现细节,包括指令集、寄存器...
190328 逆向-浅谈反调试
热门推荐
whklhhhh的博客
03-29 2万+
调试机制 Linux 通过ptrace系统调用来调试子进程 对于create类型,与正常创建子进程工序相同,通过fork创建子进程后使用traceme来告知内核它需要被调试,这样等到exec执行的时候内核就会产生SIGTRAP,此时调用wait的父进程就会接收到这个信号并ptrace子进程,从而使得调试优先于子进程的所有内容 而对于attach类型,是父进程直接使用ptrace去调试其他进程,如果...
190319 逆向-花指令
whklhhhh的博客
03-20 4860
以前也接触过简单的花指令,基本上就是jz/jnz式的固定跳转 前几天的某比赛中出现了一个相对而言比较复杂的花指令,参考pizza的笔记开始一阵学习XD 前言 花指令指的是没有卵用,会干扰代码阅读甚至反编译,却不影响程序功能的代码。 广义上来说OLLVM、VMP一类的代码改变型混淆也属于花指令,本文所指的是指会干扰反汇编、影响机器码解析但不影响正常机器码的字节。 原理 产生花指令的根本原因是x86指...
180517 逆向-反控制流平坦化(符号执行脚本)
whklhhhh的博客
05-17 4784
控制流平坦化的相关理论百度有很多,简单来讲就是将代码块之间的关系打断,由一个分发器来控制代码块的跳转 正常流程如下 经混淆后的流程如下 破坏了代码块之间的关系后,整个程序的逻辑将很难辨认 符号执行的思路是遍历所有路径,将分发器等无用的代码跳过,恢复代码块之间的联系 由于跳转的代码极有规律,因此在跨过分发器,找到代码块之间联系的基础上修复控制流就难度不大了 符号执行反...
180316 逆向-反调试技术(9)防止附加和父进程检测
whklhhhh的博客
04-03 2111
1625-5 王子昂 总结《2018年3月16日》 【连续第531天总结】 A. 反调试技术(9) B. 防止调试器附加 R3调试器的附加使用的是DebugActivePocess函数,在附加相关进程时,会首先执行到ntdll.dll下的ZwContinue函数,最后停留在ntdll.dll的DbgBreadkPoint处 可以通过Hook上述两个函数,如果执行了则说明有调试器附加 ...
180314 逆向-反调试技术(7)调试器检测
whklhhhh的博客
04-03 1874
1625-5 王子昂 总结《2018年3月14日》 【连续第529天总结】 A. 反调试技术(7) B. 调试器检测 书上讲了很多SoftICE的检测方法,但是那玩意儿连XP都不支持,时代的眼泪了…… OD的检测方法 查找特征码 遍历进程,将特定地址处的值与OD的特征码进行比对,相同则确定是OD 不过这种方法只针对特定版本的软件,不同版本可能会使得特征码不同,因此有一定缺...
180306 逆向-反调试技术(1)BeingDebugged
whklhhhh的博客
03-22 1774
1625-5 王子昂 总结《2018年3月6日》 【连续第521天总结】 A. 反调试技术(1) B. BeingDebugged Win32API为程序提供了IsDebuggerPresent来判断自己是否处于调试状态,懒惰的程序员使用这个API来自欺欺人 实现源码为: IsDebuggerPresent(VOID) { return NtCurrentPeb(...
180705 逆向-Linux的逆向
whklhhhh的博客
07-12 1537
常用工具和命令 nm 列出目标文件的所有符号 objdump -d参数表示反编译.text段中的程序代码 readelf 查看ELF文件的各种信息 IDA gdb IDA 与PE程序基本类似,将ELF程序拖入IDA也可以快速的反汇编,主要借助hex-ray插件来反编译出可读性较高的伪代码 实验-passwd_generator trick patch dynam...
180307 逆向-反调试技术(2)CheckRemoteDebuggerPresent
whklhhhh的博客
03-23 1517
1625-5 王子昂 总结《2018年3月7日》 【连续第522天总结】 A. 反调试技术(2) B. CheckRemoteDebuggerPresent BOOL CheckRemoteDebuggerPresent( HANDL hProcess, PBOOL pbDebuggerPresent ); 这是另外一个MSDN上提供的检测调试器的函数,测试发现及时修改Be...
180515 逆向-被隐藏的真实(DDCTF_Re3)
whklhhhh的博客
05-15 1347
这题本来单纯地以为是很简单的题,听欧佳俊师傅讲了一下出题思路才发现他的想法真的比答题人多得多…… main函数里调用了三次get_pwd()这个函数来check输入 get_pwd中接受输入,然后对count自增,调用了Bitcoin对象的一个函数来校验输入 如果熟悉C++逆向的话,一眼就能看出来这是在调用虚函数 因为v2是对象的空间,在C++的对象构造中,开头4个字节指向的是虚函...
REA逆向工程电子书:脱壳教程与论文集
2. 脱壳技术:讲解如何分析程序的入口点,识别加壳机制,以及如何逐步剥离保护层。 3. 加密与解密:讨论加密算法,如 XOR、RSA、AES 等,以及如何解密被保护的代码。 4. 反调试技术:介绍如何绕过反调试技巧,如检测...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值