首页
社区
课程
招聘
[讨论]em……真正的分析脱壳,应该是这样
2019-10-21 19:18 5460

[讨论]em……真正的分析脱壳,应该是这样

2019-10-21 19:18
5460
em……大体来说,就是多次dump多次修复。比如刚开始到了ep,dump修复一次,然后走过几个函数以后,再dump修复一次,其实中途有很多的字符串啥的,用ida分析,可以作为突破点。这样的话,哪怕你api全走syacall,也可以用ida先静态揪出来,然后动态之前在syscall当然地方下断点,这才是真正的分析脱壳。至于自修改代码段,更可以先把代码段设置为仅可执行,然后分析。
这些是基本功,如果能做到这些程度,自己完全手动修复dump文件,那么不管是upx还是vmprotect都没有那么可怕。很多人遇到upx直接一个esp定律个搞定,遇到vmprotect就回收站,就是因为缺少了这个过程。
ps:找vmprotect的oep和反调试,修复iat,不难,只是要能耐心多次dump,会手工重建输入表。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 1
打赏
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回