第3版:加密和解密;13.1;13.2;
有加壳,必有脱壳。
壳的加载过程
1 保存入口参数
(b) 炮击过程的启动省去了每个登记册的值,完成了外壳执行,恢复了每个登记册的内容,并最终返回了原始应用程序。
2. 获取罐壳所需的API地址。
使用装入Library 或装入Library Ex 将 DLL 文件图像装入呼叫进程地址空间; 然后使用 GetModuleHandle () 获取 DL 模块控件; 在装入 DL 模块后,然后调用 GetProcPress 函数获取输入函数的地址;在此示例中,其他功能大多被这三个函数调用。
3. 解密每个原始程序块的数据
shell 加密原始程序文件的区块以保障原始程序代码和数据。 当程序被执行时, shell 解密区块数据以使程序能够正常运行 。
4 IAT的初始化
IAT 填充, 这应该由 PE 装载器完成 。 但是, 当您添加一个 shell 时, 您会创建自己的输入表 。
5 重定位项的处理
当文件被运行时, 它会被映射到给定的内存位置 。基本地址是第一个内存地址。这一点在程序手册中已有说明。对于exe,胜者将尽可能满意根据声明的程序加载 。对于DLL,Win系统没有能力核实每个DLL业务都使用同一基本地址。
6 HOOK-API
程序文档中输入表格的作用是让 Windows 在应用程序运行时向应用程序发送真实的 API 地址。 Shells 通常会更改原始程序文件的输入表格; 然后在输入表格本身中填入所需的数据 。
7 进入方案初始切入点(OEP)。
然后,炮弹将控制权放弃原操作。
人工清除外壳的第一步 是找到程序的真正切入点
(a) 学习如何使用Lordpe;然后寻找OEP;该工具被认为是一个很好的 PE 工具;PE 代表 Windows 可执行文档。
许多大猩猩被埋设;有些尚未投入使用;在开办时,如下所示:
点出 PE 编辑器按钮; 在第 13 册中为练习使用装入示例 RebPE; 程序现在没有被炮击 。
该方案从11时30分开始,分为四个部分。
(a) 对于上述进程,采用原书第16章规定的炮击程序;
此外,LerdPE,单击 L 按钮以显示 PE 文件的信息 。
炮击已经结束;炮击后进程被击毙,被视为木马。
信任;
当弹壳被装入时, Lordepe 用于打开前置文件 。
该方案的启动时间已改为1300H。
还有一个. Pediy 区段; 额外部分是外壳, 与原始文件装载器相似; 不清楚是否所有的外壳都附在 PE 区段之后。
激活 liddbg; 选项; 使程序暂停点成为主模块的入口 。
装有上述外壳的程序;用原文,装载程序可能表明装载程序进入点超出了代码范围,因为外壳已装入;没有提示;装载程序直接装入外壳;以下是努力发现OEP;首先来到这里;
因为使用所有的 PE 文件; 然后构建一个 C# 软件, 读取 PE 之前的 PE 信息, 包含 DOS 头信息 ;
DOS头结构由14个单词、4个长数组、4个长数组、Words、Words、10个字数组、1个长,共64个字组。
C#代码:
包括系统.IO;
BitConversion 类用于将字节转换为十六进制字符串。
以下是业绩情况,而PE勋爵获取的多斯赫特信息是一致的;
