BpLife

找到个共享软件练练手，一下是我的分析，做个备份算啦*******************************************************输入用户名和密码，运行段在此处00412C70 . 8B46 64 mov eax,dword ptr ds:[esi+0x64] ; 24cD938 序列号00412C73 . 8

.text:10116143 BF 20 A1 18 10                    mov     edi, offset unk_1018A120.text:10116148 BA 28 B1 18 10                    mov     edx, offset aKLVljqKqvyTy ; "k]L}VLJQ]KqVy[Ty"这两个地址字符串被加密了

以下是IDA的分析text:77EC7812 ; int __stdcall RtlInitializeGenericTableAvl(void *Dst, int, int, int, int).text:77EC7812 public _RtlInitializeGenericTableAvl@20.text:77EC7812 _RtlInitiali

压缩壳1.压缩数据（压缩函数的调用）2.处理E8，E9（jmp,call）3.处理重定位4.简单处理IAT5.少许Anti，Anti-Dump加密壳1.压缩，加密数据2.花指令3.代码乱序4.anti,Code-Crc-Check,File Crc-Check,Memory Crc-Check,Anti-Dump5.Stolen Code/Sto

我的stub是从dll中注入到宿主程序的。当然stub重定位是按照宿主的imagebase进行重定位的，当宿主程序重新启动不是按原先imagebase加载时，程序是运行不起来的。解决办法就是 修改IMAGE_OPTIONAL_HEADER ，DllCharacteristics字段代码如下： PIMAGE_NT_HEADERS pNt=peTool.GetNTheaderPt();