-
-
[讨论]em……真正的分析脱壳,应该是这样
-
发表于: 2019-10-21 19:18 5843
-
em……大体来说,就是多次dump多次修复。比如刚开始到了ep,dump修复一次,然后走过几个函数以后,再dump修复一次,其实中途有很多的字符串啥的,用ida分析,可以作为突破点。这样的话,哪怕你api全走syacall,也可以用ida先静态揪出来,然后动态之前在syscall当然地方下断点,这才是真正的分析脱壳。至于自修改代码段,更可以先把代码段设置为仅可执行,然后分析。
这些是基本功,如果能做到这些程度,自己完全手动修复dump文件,那么不管是upx还是vmprotect都没有那么可怕。很多人遇到upx直接一个esp定律个搞定,遇到vmprotect就回收站,就是因为缺少了这个过程。
ps:找vmprotect的oep和反调试,修复iat,不难,只是要能耐心多次dump,会手工重建输入表。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
赞赏
他的文章
看原图
赞赏
雪币:
留言: