[原创]使用模拟器进行x64驱动的Safengine脱壳+导入表修复-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (30) ◀ 1 2
猎杀上帝雪币： 324 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 30 粉丝 0 关注私信	猎杀上帝 26 楼哎！进来都是大佬 2019-12-9 21:38 0
小希希雪币： 1810 活跃值： (4025) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 335 粉丝 18 关注私信	小希希 28 楼可以,学到了 2020-2-13 11:41 0
hhkqqs 雪币： 12352 活跃值： (5874) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 42 关注私信	hhkqqs 1 29 楼感觉不能从文件拿到导入表信息的情况下修复导入表要考虑太多东西，对导入表的引用除了FF 15还有 mov r64, cs:[imp_KeSetEvent] call r64/jmp r64 mov r64, cs:[imp_PsProcessType] cmp r64, rax 1903引入的retpoline: mov r10, cs:[imp_KeSetEvent] call nt!KeSetEvent (E8 xx xx xx xx) 还有其他各种奇葩的情况，我在想能不能找到导入表函数地址那块区域的特征，这样就能大幅减少漏判点了最后于 2020-10-17 15:50 被hhkqqs编辑，原因： 2020-10-17 15:49 0
小小刁民雪币： 263 能力值： ( LV1，RANK：0 ) 在线值：发帖 5 回帖 14 粉丝 3 关注私信	小小刁民 30 楼好好学习天天向上 2021-4-5 19:06 0
zx_838741 雪币： 377 活跃值： (5996) 能力值： ( LV4，RANK：55 ) 在线值：发帖 22 回帖 188 粉丝 51 关注私信	zx_838741 31 楼我还能说什么呢？牛皮 2021-6-23 10:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

demoscene	+1.00	2019/02/10	精品文章～
junkboy	+2.00	2019/02/07	感谢分享～

最新回复 (30) ◀ 1 2
猎杀上帝雪币： 324 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 30 粉丝 0 关注私信	猎杀上帝 26 楼哎！进来都是大佬 2019-12-9 21:38 0
小希希雪币： 1810 活跃值： (4025) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 335 粉丝 18 关注私信	小希希 28 楼可以,学到了 2020-2-13 11:41 0
hhkqqs 雪币： 12352 活跃值： (5874) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 42 关注私信	hhkqqs 1 29 楼感觉不能从文件拿到导入表信息的情况下修复导入表要考虑太多东西，对导入表的引用除了FF 15还有 mov r64, cs:[imp_KeSetEvent] call r64/jmp r64 mov r64, cs:[imp_PsProcessType] cmp r64, rax 1903引入的retpoline: mov r10, cs:[imp_KeSetEvent] call nt!KeSetEvent (E8 xx xx xx xx) 还有其他各种奇葩的情况，我在想能不能找到导入表函数地址那块区域的特征，这样就能大幅减少漏判点了最后于 2020-10-17 15:50 被hhkqqs编辑，原因： 2020-10-17 15:49 0
小小刁民雪币： 263 能力值： ( LV1，RANK：0 ) 在线值：发帖 5 回帖 14 粉丝 3 关注私信	小小刁民 30 楼好好学习天天向上 2021-4-5 19:06 0
zx_838741 雪币： 377 活跃值： (5996) 能力值： ( LV4，RANK：55 ) 在线值：发帖 22 回帖 188 粉丝 51 关注私信	zx_838741 31 楼我还能说什么呢？牛皮 2021-6-23 10:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复