[讨论]为什么要用VirtualAlloc、VirtualFree、VirtualProtect等下断呢？-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (3)
littlewisp 雪币： 5279 活跃值： (3659) 能力值： ( LV13，RANK：283 ) 在线值：发帖 62 回帖 558 粉丝 13 关注私信	littlewisp 2 2 楼你从头到尾单步跟踪一下就明白了 2011-8-26 15:44 0
金罡雪币： 1489 活跃值： (993) 能力值： ( LV8，RANK：130 ) 在线值：发帖 13 回帖 367 粉丝 103 关注私信	金罡 2 3 楼其实用VirtualFree下断最好,楼主好好跟跟一些压缩壳会发现,壳在解压缩时会把数据解压到VirtualAlloc的内存里，然后会把解压好的数据放回各区段,之所以下断VirtualFree,解压完一部分或全部数据时用调用它释放内存。壳的流程,非常重要。 1,获取壳使用的API或anti debug 2,还原各个区段的数据。 3,IAT处理 4,准备到达OEP,其中可能有处理stolen code VirtualFree下断两次，刚好所有的数据已经解压完毕,可以定位到上面的第2个流程.F8几次发现没有加密IAT跳过第三个流程。直接F8几次就可以到达OEP了(壳的流程4) 2011-8-26 16:17 0
pc小波雪币： 118 活跃值： (106) 能力值： ( LV6，RANK：90 ) 在线值：发帖 76 回帖 468 粉丝 0 关注私信	pc小波 1 4 楼牛人啊 2011-8-26 16:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
littlewisp 雪币： 5279 活跃值： (3659) 能力值： ( LV13，RANK：283 ) 在线值：发帖 62 回帖 558 粉丝 13 关注私信	littlewisp 2 2 楼你从头到尾单步跟踪一下就明白了 2011-8-26 15:44 0
金罡雪币： 1489 活跃值： (993) 能力值： ( LV8，RANK：130 ) 在线值：发帖 13 回帖 367 粉丝 103 关注私信	金罡 2 3 楼其实用VirtualFree下断最好,楼主好好跟跟一些压缩壳会发现,壳在解压缩时会把数据解压到VirtualAlloc的内存里，然后会把解压好的数据放回各区段,之所以下断VirtualFree,解压完一部分或全部数据时用调用它释放内存。壳的流程,非常重要。 1,获取壳使用的API或anti debug 2,还原各个区段的数据。 3,IAT处理 4,准备到达OEP,其中可能有处理stolen code VirtualFree下断两次，刚好所有的数据已经解压完毕,可以定位到上面的第2个流程.F8几次发现没有加密IAT跳过第三个流程。直接F8几次就可以到达OEP了(壳的流程4) 2011-8-26 16:17 0
pc小波雪币： 118 活跃值： (106) 能力值： ( LV6，RANK：90 ) 在线值：发帖 76 回帖 468 粉丝 0 关注私信	pc小波 1 4 楼牛人啊 2011-8-26 16:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复