[求助]挂起方式CreateProcess时系统已经完成了什么-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (2)
库尔雪币： 1319 活跃值： (1960) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 190 粉丝 3 关注私信	库尔 2 楼主线程挂起保留了线程上下文（eip 什么的），恢复的时候 NtSetInformationProcess 修改下eip(oep)就行了。挂起前已经读了PE信息的，要求是和主程序pe公用一块。那就是恢复后重新读一遍ImageBuffer去取PE信息进行绑定修复等操作。解密壳最关键的技术点是重点修复导入表和重定位表。加密之前保存重定位表和导入表的指针。解密在从重定位表和导入表中修复。修复这两个就能跑存粹的exe了。要想dll还要修复tls，ralloc这种乱七八糟得表。 2020-9-28 11:01 0
wuxiwudi 雪币： 918 活跃值： (1900) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 175 粉丝 6 关注私信	wuxiwudi 3 楼 1进程创建的时候都是挂起的,只是用suspend方式启动就跳过恢复主线程的逻辑 2重定向工作在loadimage的时候完成 3执行的时候只看内存中的镜像信息,这也就是hook和热补能执行的原因详细的你可以搜一下论坛里面讲解win7 createprocess的逻辑,xp这部分是在R3层做的,没有参考价值了 2020-9-28 11:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (2)
库尔雪币： 1319 活跃值： (1960) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 190 粉丝 3 关注私信	库尔 2 楼主线程挂起保留了线程上下文（eip 什么的），恢复的时候 NtSetInformationProcess 修改下eip(oep)就行了。挂起前已经读了PE信息的，要求是和主程序pe公用一块。那就是恢复后重新读一遍ImageBuffer去取PE信息进行绑定修复等操作。解密壳最关键的技术点是重点修复导入表和重定位表。加密之前保存重定位表和导入表的指针。解密在从重定位表和导入表中修复。修复这两个就能跑存粹的exe了。要想dll还要修复tls，ralloc这种乱七八糟得表。 2020-9-28 11:01 0
wuxiwudi 雪币： 918 活跃值： (1900) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 175 粉丝 6 关注私信	wuxiwudi 3 楼 1进程创建的时候都是挂起的,只是用suspend方式启动就跳过恢复主线程的逻辑 2重定向工作在loadimage的时候完成 3执行的时候只看内存中的镜像信息,这也就是hook和热补能执行的原因详细的你可以搜一下论坛里面讲解win7 createprocess的逻辑,xp这部分是在R3层做的,没有参考价值了 2020-9-28 11:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复