[讨论]em……真正的分析脱壳，应该是这样-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[讨论]em……真正的分析脱壳，应该是这样

2019-10-21 19:18 5460

[讨论]em……真正的分析脱壳，应该是这样

白菜大哥

2019-10-21 19:18

5460

em……大体来说，就是多次dump多次修复。比如刚开始到了ep，dump修复一次，然后走过几个函数以后，再dump修复一次，其实中途有很多的字符串啥的，用ida分析，可以作为突破点。这样的话，哪怕你api全走syacall，也可以用ida先静态揪出来，然后动态之前在syscall当然地方下断点，这才是真正的分析脱壳。至于自修改代码段，更可以先把代码段设置为仅可执行，然后分析。

这些是基本功，如果能做到这些程度，自己完全手动修复dump文件，那么不管是upx还是vmprotect都没有那么可怕。很多人遇到upx直接一个esp定律个搞定，遇到vmprotect就回收站，就是因为缺少了这个过程。

ps:找vmprotect的oep和反调试，修复iat，不难，只是要能耐心多次dump，会手工重建输入表。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・1

免费・1

打赏