脱壳
关注
分享
扫一扫
九阳道人
不怕念起,唯恐觉迟!
展开
-
脱壳(PEspin 0.3x)
脱壳(PEspin 0.3x) 脱壳总结: ① 找OEP 难点在于硬件断点有时会失效,解决方法通过特征定位 ② 找到清除硬件断点的异常函数 配置异常环境(尽可能接收所有的异常),通过在异常点设置硬件断点,来判断前一个异常函 数是否有清除代码,可以最终判断出第三个异常(STI 特权指令异常)的异常函数有清除代 码。 ③ 解密IAT 按照通用方法,在OEP处的第一个API函数所在的IAT设置硬件写入断点,展开分析。 首先会找到填充IAT的点,然后再通过跟踪找到获取API的地方,之后写脚本(脚本原创 2020-11-05 18:06:09 · 848 阅读 · 0 评论 -
脱壳4 (未知壳)
脱壳4 (未知壳)脱壳IAT被加密如何分析?1. 自上而下分析,单步跟踪 从程序开始单步分析,找到填充IAT的代码2. 敏感API下断,栈回溯分析 ① GetProcAddress ② LoadLibraryA/W, GetModuleHandleA/W ③ VirtualAlloc/VitualAllocEx/HeapAlloc ④ VitrualProtect/ VitrualProtectEx 3. 敏感数据下断,栈回溯分析 在IAT表加密的地址处下断点,运行之后原创 2020-11-03 11:28:18 · 492 阅读 · 0 评论 -
脱壳2 (15PB pack)
脱壳2 (15PB pack)脱壳回顾1. 脱壳需要哪三步? ① 找原始OEP ② dump内存 ③ 修复文件2. 找OEP有哪些技巧? ① 特征定位 ② 单步跟踪 ③ ESP定律3.脱壳upx、aSpack、nSpack ① 找OEP ESP定律4.脱壳 FSG 2.0 ① 找oep 单步跟踪 跳转到OEP代码: JMP DWORD PTR DS:[EBX+0xC] ② dump内存 ③ 修复IAT FSG 2.0对内存中的IAT 进行了一些空隙填充,需要将其改为0原创 2020-11-03 09:50:16 · 411 阅读 · 0 评论