壳分析

最新推荐文章于 2023-05-13 20:12:27 发布
最新推荐文章于 2023-05-13 20:12:27 发布
阅读量434 收藏 1
点赞数
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yourenhello/article/details/16950245
版权
压缩壳
1.压缩数据(压缩函数的调用)
2.处理E8,E9(jmp,call)
3.处理重定位
4.简单处理IAT
5.少许Anti,Anti-Dump


加密壳
1.压缩,加密数据
2.花指令
3.代码乱序
4.anti,Code-Crc-Check,File Crc-Check,Memory Crc-Check,Anti-Dump
5.Stolen Code/Stolen Bytes
6.Vm
7.IAt 加密
8. SDK




脱压缩壳:
1.找数据解压部分
2.找解压函数的参数
3.重头开始跟踪参数的组成
4.分析E8,E9。重定位修复
5.到OE
yourenhello
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
房价数据分析
Galaxy__42的博客
03-16 5804
网宁波地区房价数据分析宁波房源数据爬取 1.全部代售房屋数据 数据清洗 1.删除缺失值 使用筛选,筛选出户型结构的空白值 全部选中删除行 然后点击列就可知道每列有多少的数值 2.将楼层中的数字提取出来 =MID(E2,FIND("共",E2)+1,FIND("层",E2,FIND("共",E2))-FIND("共",E2)-1) 用此E...
乐固分析
weixin_33860722的博客
03-28 244
本文以乐固2.8.1(后面还有2.10.3.1)为例,介绍乐固分析和脱过程。 一、绕过反调试首先,使用ida加载libshella-2.8.1.so后,出现以下section错误提示,点“OK”后仍然可以加载成功:   这说明“乐固”在section做了一些手脚。要解决这个问题,我们需要明白关于section和segment的一些不同:1. ELF中的section主要提供给Linke...
病毒/中用到的代码重定位技术
潜心学习
06-10 1196
当把加在软件上(或者病毒感染PE文件/补丁加在软件上)时,在代码上定义的变量和常量的地址都会无法访问,因为编译器给中变量A生成的地址是A,但是把段加在软件上时变量A的地址就不在是A了,为了继续能够寻址到的变量,需要对代码重新定位 下面是一个中用到的重定位代码: DepackerCode: pushad call CallMe CallMe: pop ebp
UPX分析
iextract的博客
07-08 2006
面试的时候问到一些问题,之前一直没接触过,这几天在学校安排的培训空闲时间,用upx压缩一个exe来分析行为 UPX 3.94w+x64dbg 明日开始整理分析过程并上传 工具:Source Insight目录文件夹结构如下 \UPX-3.08-SRC ├─doc └─src ├─filter └─stub ├─scripts ├─
调试UPX压缩的notepad
weixin_30347009的博客
11-30 199
@date: 2016/11/29 @author: dlive 0x01 运行时压缩 对比upx压缩前后的notepad可以看到如下特点 PE头的大小一样 节区名称改变(.text -> .UPX0, .data -> .UPX1) 第一个节区的SizeOfRawData=0,即第一个节区在磁盘上的大小为0,但是第一个节区的VirtualSize的值被设置为0x10000 note...
Stolen Code的一些想法
weixin_30315435的博客
12-16 98
偷取过程中会偷入口处和中间任意处;执行被偷取的代码时还会加入花指令。偷的过程:在对Code段解密后把被偷的地方不放回去,而不是从被偷的地方直接复制到申请内存中再清00的过程。 识别被偷: 偷入口,执行到原始Code段时不是明显的某种语言的入口标志;偷中间,执行到原始Code段后在某处又跳转到申请的内存中执行一些代码又回来Code段。 针对偷入口,识别各种语言入口标志,把偷的复制回来;...
分析和剥离实验
qq_52185773的博客
02-27 751
分析和剥离实验 实验目的 了解分析和剥离,掌握的基本种类,学习脱的使用流程和基本操作,实例分析了解的使用方法 实验内容 1.对notepad_upx.exe进行脱;初步掌握EXE脱一般流程和常用方法。 2.对RebPe.exe进行脱; 3.对55.exe进行脱。 实验过程(包含实验过程中出现的问题及解决办法) 对notepad_upx.exe进行脱打开程序会发现 把程序拖进olldbg进行跟随,选择跳转 打断点运行 运行到此是 开始脱 把修正的参数改为739D 点击确定 然后修
逆向分析——
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
03-10 846
是一个由编译器,解释器和虚拟CPU环境组成的会严重影响代码的性能,用效率换安全。
PE文件+UPX ida分析
最新发布
wuwuliuliu0524的博客
05-13 451
下载压缩包后解压,直接在该文件路径下cmd,输入upx.exe -h安装完成,使用命令“upx -d +文件路径”进行脱。die查发现是UPX,直接用ida分析,会发现能分析出来的信息特别少,需要脱。脱成功,之后再次分析,数据就出来了。
分析软件peid
05-11
PEiD(Portable Executable Identifier)是一款广受欢迎的Windows可执行文件(PE,Portable Executable)分析工具,尤其擅长于识别和分析程序的“外”或加技术。在计算机安全领域,加技术通常被用于隐藏恶意...
分析工具,希望大家能用得着
04-14
这是一款外分析工具,这是一款外分析工具,这是一款外分析工具
大倾角煤层长壁开采围岩宏观应力拱分析
07-19
据此,建立了应力拱分析模型和坐标系统,推导出宏观应力拱的形态方程,给出应力拱的稳定性判别准则,其失稳关键部位失稳主要有顶拉伸破坏失稳、肩压剪破坏失稳、基复合失稳3种形式,根据应力拱关键部位失稳...
Android一二三代加固原理分析,代码实现ART下抽取
01-12
本文将深入探讨Android一二三代加固原理,包括抽取、VMP加固以及DEX2C技术,分析其实现源码。 1. **抽取原理**: 加固的核心是改变原本的类加载机制,抽取的原理就是将原始的.dex文件(包含应用代码)从...
矿用载货车驱动桥疲劳寿命分析
07-01
通过CATIA建立某矿用载货车驱动桥数字模型,结合汽车驱动桥台架试验标准对桥进行静力分析,并采用FE-SAFE疲劳分析软件对桥进行基于正弦载荷激励的疲劳寿命仿真。该方法可在设计阶段对桥疲劳寿命进行预估,为...
IDA 字符串解密脚本
BpLife
11-21 5475
.text:10116143 BF 20 A1 18 10                    mov     edi, offset unk_1018A120 .text:10116148 BA 28 B1 18 10                    mov     edx, offset aKLVljqKqvyTy ; "k]L}VLJQ]KqVy[Ty" 这两个地址字符串被加密了
注册算法的分析
BpLife
11-15 992
找到个共享软件练练手,一下是我的分析,做个备份算啦 ******************************************************* 输入用户名和密码,运行段在此处 00412C70 . 8B46 64 mov eax,dword ptr ds:[esi+0x64] ; 24cD938 序列号 00412C73 . 8
_Rtl_GenericTable_ 系列函数 的逆向分析
BpLife
11-11 852
以下是IDA的分析 text:77EC7812 ; int __stdcall RtlInitializeGenericTableAvl(void *Dst, int, int, int, int) .text:77EC7812 public _RtlInitializeGenericTableAvl@20 .text:77EC7812 _RtlInitiali
笔记
BpLife
11-28 603
我的stub是从dll中注入到宿主程序的。当然stub重定位是按照宿主的imagebase进行重定位的,当宿主程序重新启动不是按原先imagebase加载时,程序是运行不起来的。 解决办法就是 修改IMAGE_OPTIONAL_HEADER ,DllCharacteristics字段 代码如下: PIMAGE_NT_HEADERS pNt=peTool.GetNTheaderPt();
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值