-
-
伪装壳的作用到底有多大?
-
发表于:
2005-7-12 19:17
4638
-
我最近研习PE,想到用修改入口代码来伪装一个壳。不过这样做除了能让PEID和FI失效外,我不知道还有什么别的作用。
我修改的方法如下:
1.给目标程序增加一个区块。
2.修改程序入口为新增加的区块其始地址。
3.参照伪装壳的特征码,在新增区块写入代码。我没有添加反调试的代码,所有的call子程序我都是nop然后ret。最后用个跳转到目标程序的原来的入口。
这样子修改,前提是目标程序没有CRC等完整性自校验的壳。我参照PEID目录下userdb中壳的特征码,写了个小程序(目前还是预览版,我只写了能把目标程序伪装成Hying壳的代码)来实现壳的伪装。我的想法是把一些伪装壳的名称都放在cmbBox中,大家想把目标程序伪装成什么壳,自己选择好然后伪装就可以了。
劳烦壳区的各位好手指点一二,如果这样的程序有用武之地,我就借助cmbBox把这个程序完善了,如果没有什么用,我就去研究怎么加壳了。不过我想如果我在新增区块中加如反调试代码,那这个伪装壳也算得上是一种壳了吧?
静候壳区各位好手的意见。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
