180223 逆向-脱壳技术(6)

最新推荐文章于 2022-10-11 21:12:14 发布
最新推荐文章于 2022-10-11 21:12:14 发布
阅读量236 收藏
点赞数
分类专栏: 逆向和保护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/79644014
版权

1625-5 王子昂 总结《2018年2月23日》 【连续第510天总结】
A. 脱壳技术(6)附加数据
B.

附加数据

某些PE文件在各个区块之后还有一些数据,它们不属于任何区块,由于PE文件被映射到内存是按区块映射的,因此这些数据是不能被映射到内存中的,这些额外的数据就被称为附加数据(overlay)

附加数据的起点是最后一个区块的末尾,终点是文件末尾

dump程序内存的时候,由于附加数据不会被装载到内存中,因此要手动修复。
复制粘贴回去以后,要考虑原文件读取附加数据的方式—脱壳前后的文件大小是不同的

如果直接通过文件长度-length/尾部-length指针的方式读取,则没有影响。而若是硬编码的长度,则需要Patch指针使其正确指向附加数据才行

C. 明日计划
脱壳技术(7)

奈沙夜影
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
180220 逆向-脱壳技术(3)
whklhhhh的博客
03-21 425
1625-5 王子昂 总结《2018年2月20日》 【连续第507天总结】 A. 脱壳技术(3)抓取内存映像 B. 抓取内存映像 又叫转存、Dump 就是把内存中的指定数据保存为文件,写入磁盘中 脱壳时,如果将解密后的原程序dump出来,就得到了原程序的核心部分,只要修复IAT等部分就基本还原了 而在何时dump文件是有一定技巧的。 一般在OEP处dump。 如果运行以后du...
ASProtect V2.X脱壳 处理附加数据 去自校验
10-23
ASProtect V2.X脱壳 处理附加数据 去自校验
逆向脱壳附加数据处理
dfdhxb995397的博客
07-31 165
一、介绍: 什么是附加数据(overlay)摘自Lenus大神 实际当中的overlay 其实,overlay虽然大家在脱壳当中觉得很陌生,但是他离我们并不遥远。在我们平时使用的软件当中,有一些软件要处理一些数据流文件,比如 winamp。当我们下载了mp3文件(数据文件),没有播放器是不可能播放的,与此相关的还有很多,比如txt文件和notepad的关系也差不多。而这...
浅谈脱壳中的附加数据问题(overlay)
qq_51600802的博客
10-11 630
这篇文章我们将解决以下问题: 1.什么是overlay,怎么找到overlay? 2.为什么有些壳虽然有overlay但是却不用特别处理? 3.为什么有些壳只用粘贴overlay数据就ok了,而有些壳却要定位指针? 4.如何修复文件指针?
脱壳之附加数据段的提取
weixin_30682127的博客
12-08 173
附加数据段不属于如何一个区块,由于PE文件被映射到内存是按照区块映射的,所以附加数据段是不能被映射到内存的。 附加数据段是在所有区块的最后,用PEiD观察可以发现它有一个OVerload的数据段,如下图:从这个数据可以看出,他的附加数据段在文件位置的的3800处, 同时也可以看出这个PE文件是用UPX加壳了的,脱壳之后会发现,其附加的数据段没有被dump下来,这个时候就需要...
【转】脱壳中的附加数据问题(overlay)
qingye
11-17 1527
发布人:kgdyga1.前言最近,在论坛上看到很多人在弄附加数据overlay的问题,加上上次答应了各位兄弟所以觉得写一些着方面的废话。如果下面的内容对你有帮助那是最好。这篇文章我们将解决以下问题:1.什么是overlay,怎么找到overlay?2.为什么有些壳虽然有overlay但是却不用特别处理?3.为什么有些壳只用粘贴overlay数据就ok了,而有些壳却要定位指针?4.如何修复文件指
180221 逆向-脱壳技术(4)
whklhhhh的博客
03-21 246
1625-5 王子昂 总结《2018年2月21日》 【连续第508天总结】 A. 脱壳技术(4) 重建输入表 B. 重建输入表 外壳程序会破坏原程序的输入表,因此Dump内存以后必须要修复输入表才能正常运行 原理 IAT结构用于保存API的实际地址 PE文件在初始化输入表时,Windows装载器首先搜索OriginalFirstThunk,如果存在,加载程序迭代搜索数组中的每...
180219 逆向-脱壳技术(2)
whklhhhh的博客
03-21 278
1625-5 王子昂 总结《2018年2月19日》 【连续第506天总结】 A. 脱壳技术(2)寻找OEP B. 寻找OEP 外壳保护的程序运行时,首先会执行外壳 将原程序解密到内存中,再将控制权转交给原程序来正常执行 无论是脱壳恢复原程序还是调试,都需要找到原程序的入口点,即OEP 找OEP有以下几种方法 根据跨段指令 大多数PE加壳程序会在被加密的程序中加...
逆向分析脱壳技巧总结
10-30
逆向分析脱壳技巧总结,其中汇集了逆向分析所需要用的各种方法和技术总结,对于初学者有很好的学习帮助。
iOS 底层原理逆向脱壳实战-课件
最新发布
09-09
"iOS 底层原理逆向脱壳实战-课件"是针对这一主题的专业学习资料,涵盖了多个关键知识点。 首先,让我们来探讨一下07-theos.pdf和07-theos.pptx,这两个文件可能涉及到Theos工具的使用。Theos是一个用于iOS平台的...
第31章-脱壳简介1
08-03
学习脱壳不仅可以增强逆向分析技能,还能帮助我们理解壳的运作机制,以便于开发更有效的反逆向技术或找到绕过壳的方法。然而,值得注意的是,每个壳都有其独特的实现方式,因此掌握一种壳的脱壳方法并不意味着可以...
脱壳实例-易语言
12-07
本文将详细探讨“脱壳实例-易语言”,包括易语言的编译方式以及如何处理脱壳技术。 易语言是一种中文编程语言,它的设计目标是使编程更加简单、直观,尤其适合初学者。易语言提供了两种编译方式:独立编译和非独立...
Java逆向破解技术探讨
08-24
脱壳技术是指去除程序的保护壳,以便更容易地进行分析和修改,Java程序通常采用加壳技术进行保护。反汇编是将机器指令转换为可读的汇编语言的过程,通过反汇编,我们可以了解程序的底层实现细节,包括指令集、寄存器...
ASProtect V2.X脱壳+处理附加数据+去自校验!
张宏双的专栏
05-24 4048
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ASProtect V2.X脱壳+处理附加数据+去自校验作者:Hmily博客:Http://Blog.52Hmily.CnQQ群:39940458~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~大家好,我是Hmily,今天给大家带来 Q宠保姆VC版 2.23 SP8版2007.0
附加数据的处理方法
行走在黑暗中的狙击者
09-01 176
使用工具:overlay最终版或者手动 WIN HEX或HEX WORKSHOP 计算附加数据: 用PEID查看区段,找到最后一个区段,查看一下实际偏移和大小,把二个数值相加,再在HEX WorkShop中直接找到此地址往下复制便可 ...
190328 逆向-浅谈反调试
热门推荐
whklhhhh的博客
03-29 2万+
调试机制 Linux 通过ptrace系统调用来调试子进程 对于create类型,与正常创建子进程工序相同,通过fork创建子进程后使用traceme来告知内核它需要被调试,这样等到exec执行的时候内核就会产生SIGTRAP,此时调用wait的父进程就会接收到这个信号并ptrace子进程,从而使得调试优先于子进程的所有内容 而对于attach类型,是父进程直接使用ptrace去调试其他进程,如果...
190319 逆向-花指令
whklhhhh的博客
03-20 4860
以前也接触过简单的花指令,基本上就是jz/jnz式的固定跳转 前几天的某比赛中出现了一个相对而言比较复杂的花指令,参考pizza的笔记开始一阵学习XD 前言 花指令指的是没有卵用,会干扰代码阅读甚至反编译,却不影响程序功能的代码。 广义上来说OLLVM、VMP一类的代码改变型混淆也属于花指令,本文所指的是指会干扰反汇编、影响机器码解析但不影响正常机器码的字节。 原理 产生花指令的根本原因是x86指...
180517 逆向-反控制流平坦化(符号执行脚本)
whklhhhh的博客
05-17 4784
控制流平坦化的相关理论百度有很多,简单来讲就是将代码块之间的关系打断,由一个分发器来控制代码块的跳转 正常流程如下 经混淆后的流程如下 破坏了代码块之间的关系后,整个程序的逻辑将很难辨认 符号执行的思路是遍历所有路径,将分发器等无用的代码跳过,恢复代码块之间的联系 由于跳转的代码极有规律,因此在跨过分发器,找到代码块之间联系的基础上修复控制流就难度不大了 符号执行反...
180316 逆向-反调试技术(9)防止附加和父进程检测
whklhhhh的博客
04-03 2111
1625-5 王子昂 总结《2018年3月16日》 【连续第531天总结】 A. 反调试技术(9) B. 防止调试器附加 R3调试器的附加使用的是DebugActivePocess函数,在附加相关进程时,会首先执行到ntdll.dll下的ZwContinue函数,最后停留在ntdll.dll的DbgBreadkPoint处 可以通过Hook上述两个函数,如果执行了则说明有调试器附加 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值