首页
社区
课程
招聘
[PE相关]如果DUMP了一块内存
发表于: 2012-9-12 23:39 6354

[PE相关]如果DUMP了一块内存

2012-9-12 23:39
6354
如果DUMP了一块内存,仅仅是一块内存,

给它拖进OD,OD自然识别不了,

怎么样能给这块内存 加PE头 加OEP 等等,让他变成PE格式(EXE执行文件)

然后我就可以用OD去静态分析它了!!(正常载入即可,不需要运行)~~~

我不喜欢用IDA...

或者有现成的软件?
或者现成的文章?
求学习求指导!!!!!!!!!!!!!

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 4984
活跃值: (3330)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
一直都在用LordPE完全转存,OD载入毫无压力。
2012-9-13 09:31
0
雪    币: 106
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
建个EXE工程,函数内开辟块内存,把dump下来的十六进制写进去,Build。
2012-9-13 10:20
0
雪    币: 107
活跃值: (37)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
转存谁都会啊...但是我只是DUMP一块内存...


方法很好,但是我还是想在一块内存加OEP 加PE头等等信息

有谁知道
2012-9-15 02:58
0
雪    币: 2134
活跃值: (14)
能力值: (RANK:170 )
在线值:
发帖
回帖
粉丝
5
只是一块内存不知道oep等信息吧,如果只是看,写个插件load文件到内存就好了
2012-9-15 10:26
0
雪    币: 1844
活跃值: (35)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
6
如果解码好的内存数据为代码,可以对这个区域二进制复制出来
然后随便找个没加壳的 exe 新增加一个区段,winhex hex 写入你复制出来的内存数据
从新用 OD 加载就可以去看这个区域的代码了(其实 IDA 在这方面优秀很多的 )
2012-9-15 12:37
0
游客
登录 | 注册 方可回帖
返回
//