1625-5 王子昂 總結《2023年2月26日》 【連續第513天總結】
a. 脫殼技術(9)加密殼的一些技術
b. 這款殼由於過於經典,因此在看雪等論壇上有多篇分析文章,不再贅述脫殼方法
主要列舉一些技術
emulate standard system functions
它將api入口一段**抽到外殼裡,然後輸入表裡填充外殼位址,產生hook所有api的效果,執行完入口後再跳轉到真正的api
使得對api入口下斷的方法失效
stolen bytes
這是將程式部分**變形,搬到外殼段的一種技術
不僅可以處理oep處的**,也可以自定義任意部分的**(需要使用sdk)
encode與clear巨集保護**
它們會將**加密儲存,然後在執行到這裡的時候再進行解密,最後再刪掉它們
codereplace與vm巨集保護**
這兩個巨集使用了虛擬機器技術
加殼時將原始機器碼反彙編轉換為位元組碼,執行時由虛擬機器引擎來解釋執行
想要逆向就必須理解虛擬機器引擎,然後將位元組碼還原
而虛擬機器引擎出於自我保護的目的,又會被混淆、變形膨脹,並且被劃分為若干**塊,隨機置換順序後用jmp連線
c. 明日計畫
脫殼技術(10)
180221 逆向 脫殼技術(4)
1625 5 王子昂 總結 2018年2月21日 連續第508天總結 a.脫殼技術 4 重建輸入表 b.外殼程式會破壞原程式的輸入表,因此dump記憶體以後必須要修復輸入表才能正常執行 iat結構用於儲存api的實際位址 pe檔案在初始化輸入表時,windows裝載器首先搜尋originalfirs...
170624 逆向 失敗的脫殼
1625 5 王子昂 總結 2017年6月24日 連續第265天總結 a.脫殼前瞻 b.明天考試於是基本都在複習高數 拽了乙個?難度的crackme試試,拖入peid發現第一次遇到殼 20markus 20 20laszlo class ht day item search keyword titl...
iOS逆向 frida一鍵脫殼
前沿ios砸殼方式很多 dumpdecrypted,clutch,frida,本篇介紹frida。1 準備工作 1.1 ios端 1.2 mac 端1.2.1 安裝homebrew usr bin ruby e curl fssl 1.2.2 安裝python brew install python...