[求助]Linux下64位ELF有啥好的逆向方法-软件逆向-看雪论坛-安全社区|非营利性质技术交流社区

最新回复 (4)
老伙计雪币： 753 活跃值： (2913) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 608 粉丝 11 关注私信	老伙计 2 楼 Linux应该不支持程序运行中自修改，也就是说，运行前，系统会把脱了壳的程序写到磁盘上一个比较隐蔽的地方，然后调用此程序。运行完后，先删除脱了壳的程序，再退出。 2013-6-8 09:32 0
kobemc 雪币： 40 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	kobemc 3 楼应该不是这样的 upx壳确实是把原程序释放在来进程本地的空间里面了 gcore出来的dump，用ida load出来，能看到释放出来的字符串、函数什么的 2013-6-8 10:02 0
phoenixkiller 雪币： 237 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 1 关注私信	phoenixkiller 4 楼确实见过一个老伙计说的那样的程序，运行起来后就直接删除硬盘上的临时文件。在unlink函数处下断可以找到删除前的脱壳文件。 2013-6-8 16:29 0
kobemc 雪币： 40 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	kobemc 5 楼 upx把所有的导入函数信息都抹了怎么在gdb里定位哪个是unlink... 2013-6-9 09:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
老伙计雪币： 753 活跃值： (2913) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 608 粉丝 11 关注私信	老伙计 2 楼 Linux应该不支持程序运行中自修改，也就是说，运行前，系统会把脱了壳的程序写到磁盘上一个比较隐蔽的地方，然后调用此程序。运行完后，先删除脱了壳的程序，再退出。 2013-6-8 09:32 0
kobemc 雪币： 40 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	kobemc 3 楼应该不是这样的 upx壳确实是把原程序释放在来进程本地的空间里面了 gcore出来的dump，用ida load出来，能看到释放出来的字符串、函数什么的 2013-6-8 10:02 0
phoenixkiller 雪币： 237 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 1 关注私信	phoenixkiller 4 楼确实见过一个老伙计说的那样的程序，运行起来后就直接删除硬盘上的临时文件。在unlink函数处下断可以找到删除前的脱壳文件。 2013-6-8 16:29 0
kobemc 雪币： 40 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	kobemc 5 楼 upx把所有的导入函数信息都抹了怎么在gdb里定位哪个是unlink... 2013-6-9 09:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复