[求助]内存镜像法脱壳原理-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
king少雪币： 5 活跃值： (369) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 189 粉丝 0 关注私信	king少 2 楼这个你得了解下PE结构因为程序加壳后运行的时候会进行解压把加壳之前的结构映射到内存最后一个一般就是rsrc资源段下这个断点就是让文件完全映射到内存然后壳会重新来code段进行一些操作譬如打乱IAT 让你不能得到未加壳前文件的结构，这样在code段下断就可以来到OEP附近了。有错误理解的话请指正谢谢 2009-10-26 15:29 0
水刃雪币： 189 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 16 粉丝 0 关注私信	水刃 3 楼 “把加壳之前的结构映射到内存” 您指的加壳之前的结构是不是可执行文件的结构？ “然后壳会重新来code段进行一些操作”，code段应该是加壳后的code段，这里的因为要扰乱查找oep视线肯定有针对oep的操作，所以距离oep不远了？ 2009-10-26 15:37 0
水刃雪币： 189 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 16 粉丝 0 关注私信	水刃 4 楼 2楼很谦虚，我已经大致能理解了，您能再详细一点吗 2009-10-26 15:38 0
水刃雪币： 189 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 16 粉丝 0 关注私信	水刃 5 楼已经解决，谢谢 2009-10-26 19:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
king少雪币： 5 活跃值： (369) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 189 粉丝 0 关注私信	king少 2 楼这个你得了解下PE结构因为程序加壳后运行的时候会进行解压把加壳之前的结构映射到内存最后一个一般就是rsrc资源段下这个断点就是让文件完全映射到内存然后壳会重新来code段进行一些操作譬如打乱IAT 让你不能得到未加壳前文件的结构，这样在code段下断就可以来到OEP附近了。有错误理解的话请指正谢谢 2009-10-26 15:29 0
水刃雪币： 189 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 16 粉丝 0 关注私信	水刃 3 楼 “把加壳之前的结构映射到内存” 您指的加壳之前的结构是不是可执行文件的结构？ “然后壳会重新来code段进行一些操作”，code段应该是加壳后的code段，这里的因为要扰乱查找oep视线肯定有针对oep的操作，所以距离oep不远了？ 2009-10-26 15:37 0
水刃雪币： 189 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 16 粉丝 0 关注私信	水刃 4 楼 2楼很谦虚，我已经大致能理解了，您能再详细一点吗 2009-10-26 15:38 0
水刃雪币： 189 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 16 粉丝 0 关注私信	水刃 5 楼已经解决，谢谢 2009-10-26 19:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复