[求助]关于进程卸载-求助问答-看雪-安全社区|安全招聘|kanxue.com

夺命黑裤衩

2021-1-26 19:30

4828

小弟学滴水逆向三期，P86课海哥作业是做一个程序加壳，在写壳程序的时候遇到一个问题，海哥在课上没有详细的讲，只能跪求看雪的大哥们给我讲下。
--------------分割线------------------------

(1) 卸载外壳程序的文件镜像(ZwUnmapViewOfSection)

就是上边这个函数ZwUnmapViewOfSection。
究竟什么叫卸载外壳程序的文件镜像？群里的朋友说，卸载和不卸载都可以，但是我还是想不明白。

我是这么想的：
1、以挂起的方式创建进程，系统分配一个低2G的空间（此时这2G空间里已经有一部分壳程序的内容了）。
2、申请空间，把源文件的镜像从src的SizeOfImage这个位置开始存
2、修改壳程序的基址、主程序的EIP、修复重定位表
3、恢复主线程

不知道为什么要卸载外壳程序的文件镜像，是不是卸载了，任务管理器就看不到了？

第一次发帖，求大佬讲讲

收藏・0

免费・0

支持

最新回复 (2)
ffggddss 雪币： 2726 活跃值： (1110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 34 粉丝 1 关注私信	ffggddss 2 楼不是,任务管理器里还是看的到的,卸载文件镜像也就是把该程序内的原数据删除掉,恢复成一个干净的内存,主要是用来创建傀儡进程,你创建了傀儡进程,之后卸载掉他的文件镜像,写入自己的文件镜像,这样看起来就是一个傀儡的进程,但其实运行的是你自己的程序. 2021-1-28 12:26 0
夺命黑裤衩雪币： 25 活跃值： (580) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 5 关注私信	夺命黑裤衩 3 楼谢谢大佬，原来卸载镜像是这个意思，学到了 2021-4-8 08:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

夺命黑裤衩

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
ffggddss 雪币： 2726 活跃值： (1110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 34 粉丝 1 关注私信	ffggddss 2 楼不是,任务管理器里还是看的到的,卸载文件镜像也就是把该程序内的原数据删除掉,恢复成一个干净的内存,主要是用来创建傀儡进程,你创建了傀儡进程,之后卸载掉他的文件镜像,写入自己的文件镜像,这样看起来就是一个傀儡的进程,但其实运行的是你自己的程序. 2021-1-28 12:26 0
夺命黑裤衩雪币： 25 活跃值： (580) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 5 关注私信	夺命黑裤衩 3 楼谢谢大佬，原来卸载镜像是这个意思，学到了 2021-4-8 08:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复