[原创]浅谈程序脱壳后的优化-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]浅谈程序脱壳后的优化

发表于: 2006-7-3 22:52 184464

[原创]浅谈程序脱壳后的优化

CCDebuger

2006-7-3 22:52

184464

查看主题内容

收藏・140

免费・8

支持

最新回复 (192) ◀ 1 2 3 4 5 6 7 8 ▶
MaxSpeed 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	MaxSpeed 51 楼努力??看教??中,感著大大分享呃?好的文章教程 2006-7-11 22:49 0
xiaofeng 雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 122 粉丝 0 关注私信	xiaofeng 52 楼 ding ding ding 2006-7-12 23:57 0
痕迹雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	痕迹 53 楼我以前就知道脱壳一直不知道优化今天楼主真是帮了我等菜鸟的大忙呀费心了谢谢！ 2006-7-13 02:43 0
扎西雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	扎西 54 楼羡慕各位大侠，初来乍到，诚惶诚恐，小心翼翼的学习 2006-7-13 15:56 0
houjie0 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	houjie0 55 楼真不错!学习中! 2006-7-13 18:30 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 56 楼佩服学习 2006-7-13 20:41 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 57 楼晕,看起来都明白,自己动手就玩不转了 2006-7-13 21:18 0
CCDebuger 雪币： 2506 活跃值： (1000) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1934 粉丝 89 关注私信	CCDebuger 24 58 楼最初由 softworm* 发布* 晕,看起来都明白,自己动手就玩不转了啊？老兄是逗我玩吧？对你来说这种事情是不可能发生的 2006-7-13 21:32 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 59 楼照葫芦画瓢，总算弄出来了。以前从来没做过这个。看来还可以写个读书笔记 2006-7-13 23:28 0
paradise 雪币： 229 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 121 粉丝 0 关注私信	paradise 60 楼 CCDebuger斑主看完了这篇文章,收获不小,有几个问题一直没弄明白,想请你指教一下第一个修复IAT的时候RVA不是2000开始的吗?怎么到最后写的是2068?大小是3C这个3C是怎么来的?获取输入表的时候不是18C吗? 2006-7-16 07:13 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 61 楼这大概是CCDebugger文中没有讲清楚的地方，程序的iat从2000开始，修正输入表时在新建输入表信息中填入的rva不能覆盖这个空间，输入的是iat结束后的rva。不对请指正。 2006-7-16 11:05 0
CCDebuger 雪币： 2506 活跃值： (1000) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1934 粉丝 89 关注私信	CCDebuger 24 62 楼最初由 paradise* 发布* CCDebuger斑主看完了这篇文章,收获不小,有几个问题一直没弄明白,想请你指教一下第一个修复IAT的时候RVA不是2000开始的吗?怎么到最后写的是2068?大小是3C这个3C是怎么来的?获取输入表的时候不是18C吗? 你可以注意看一下 ImportREC 新建输入表的那张图：新建输入表信息 (IID+ASCII+LOADER)，这些东西加起来大小是18C，从 RVA 2000 处开始写。写入后你用16进制工具看一下内容，最先看到的是 IMAGE_THUNK_DATA 数组，然后才是 IID（IMAGE_IMPORT_DESCRIPTOR）数组，再后来是IMAGE_IMPORT_BY_NAME。在LordPE中看到的输入表RVA 2068就是IID（中文应该是镜像导入描述符吧）数组的起始RVA，大小3C是指IID数组的大小。更多的内容你可以参考一下讲述PE结构的文章。 2006-7-16 11:13 0
CCDebuger 雪币： 2506 活跃值： (1000) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1934 粉丝 89 关注私信	CCDebuger 24 63 楼原来 softworm 兄都解释过了，早知道我就不写这么长一段话了 2006-7-16 11:16 0
NIU 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 110 粉丝 0 关注私信	NIU 64 楼最初由 heimei* 发布* 请问？为什么我在选块的时候结尾的地方输入　　1FFF 点确定！就弹吹　＂Ｆ＂是一个无效的字符．请问为什么？这个我也碰到过，是因为鼠标点了一下winHex的地址栏，地址显示格式变成了十进制。重新点一下winHex的地址栏，让它变回十六进制就行了。这也是用winHex偶尔会出差错的地方。 2006-7-16 13:36 0
kanxue 雪币： 44229 活跃值： (19965) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 65 楼最初由 NIU* 发布* 这个我也碰到过，是因为鼠标点了一下winHex的地址栏，地址显示格式变成了十进制。重新点一下winHex的地址栏，让它变回十六进制就行了。这也是用winHex偶尔会出差错的地方。发现选块功能Hex Workshop 功能最好用，winHex也很优秀，如果将这2工具优点结合起来就方便了。 2006-7-17 21:50 0
万能雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	万能 66 楼支持啊~~~！！！！！！！！ 2006-7-18 01:34 0
bfqyygy 雪币： 338 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 523 粉丝 0 关注私信	bfqyygy 1 67 楼感谢!!学习一下!! 2006-7-18 02:10 0
987654321 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 58 粉丝 0 关注私信	987654321 68 楼继续收集谢谢辣 2006-7-18 13:06 0
paradise 雪币： 229 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 121 粉丝 0 关注私信	paradise 69 楼最初由 CCDebuger* 发布* 你可以注意看一下 ImportREC 新建输入表的那张图：新建输入表信息 (IID+ASCII+LOADER)，这些东西加起来大小是18C，从 RVA 2000 处开始写。写入后你用16进制工具看一下内容，最先看到的是 IMAGE_THUNK_DATA 数组，然后才是 IID（IMAGE_IMPORT_DESCRIPTOR）数组，再后来是IMAGE_IMPORT_BY_NAME。在LordPE中看到的输入表RVA 2068就是IID（中文应该是镜像导入描述符吧）数组的起始RVA，大小3C是指IID数组的大小。更多的内容你可以参考一下讲述PE结构的文章。我把输入表的RVA值改为idata段的起始位置00010000程序就能运行,如果按照教程上的填写00010620的话程序反到不能运行了.麻烦帮我看一下是什么原因. 上传的附件： unpack.rar （28.50kb，8次下载） 2006-7-18 16:31 0
kanxue 雪币： 44229 活跃值： (19965) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 70 楼最初由 paradise* 发布* 我把输入表的RVA值改为idata段的起始位置00010000程序就能运行,如果按照教程上的填写00010620的话程序反到不能运行了.麻烦帮我看一下是什么原因. 你重建输入表时，ImportREC里填00010620 2006-7-18 16:38 0
CCDebuger 雪币： 2506 活跃值： (1000) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1934 粉丝 89 关注私信	CCDebuger 24 71 楼最初由 paradise* 发布* 我把输入表的RVA值改为idata段的起始位置00010000程序就能运行,如果按照教程上的填写00010620的话程序反到不能运行了.麻烦帮我看一下是什么原因. 我在 ImportREC 中填入 RVA：00010000 后修正的输入表那个 00010620 是 ImportREC 自己加的，只是表示了 IID 数组的起始 RVA。你的是00010000 是因为你的 IID 数组的起始 RVA 是这里。都是 ImportREC 搞的，我是无辜的 2006-7-18 17:21 0
soro 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 73 粉丝 0 关注私信	soro 72 楼真是图文并茂的好文章,顶一下! 2006-7-18 22:28 0
爱一个人好难雪币： 0 能力值： (RANK：10 ) 在线值：发帖 30 回帖 463 粉丝 0 关注私信	爱一个人好难 73 楼最初由 CCDebuger* 发布* 我用的ImportRE是我自己汉化的那个 1.6 fix 版本，主页工具栏目里有下。看你的图，只是新建输入表中大小不同吗？只要输入表正确，这个关系不大，这里是软件自动填的。谢谢了，工具不错！ 2006-7-19 08:55 0
无聊雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	无聊 74 楼多谢楼主写的如此详细,学习中! 2006-7-22 16:17 0
ramble 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	ramble 75 楼感谢!!学习一下!! 2006-7-23 11:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

CCDebuger

390

发帖

1934

回帖

990

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (192) ◀ 1 2 3 4 5 6 7 8 ▶
MaxSpeed 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	MaxSpeed 51 楼努力??看教??中,感著大大分享呃?好的文章教程 2006-7-11 22:49 0
xiaofeng 雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 122 粉丝 0 关注私信	xiaofeng 52 楼 ding ding ding 2006-7-12 23:57 0
痕迹雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	痕迹 53 楼我以前就知道脱壳一直不知道优化今天楼主真是帮了我等菜鸟的大忙呀费心了谢谢！ 2006-7-13 02:43 0
扎西雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	扎西 54 楼羡慕各位大侠，初来乍到，诚惶诚恐，小心翼翼的学习 2006-7-13 15:56 0
houjie0 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	houjie0 55 楼真不错!学习中! 2006-7-13 18:30 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 56 楼佩服学习 2006-7-13 20:41 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 57 楼晕,看起来都明白,自己动手就玩不转了 2006-7-13 21:18 0
CCDebuger 雪币： 2506 活跃值： (1000) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1934 粉丝 89 关注私信	CCDebuger 24 58 楼最初由 softworm* 发布* 晕,看起来都明白,自己动手就玩不转了啊？老兄是逗我玩吧？对你来说这种事情是不可能发生的 2006-7-13 21:32 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 59 楼照葫芦画瓢，总算弄出来了。以前从来没做过这个。看来还可以写个读书笔记 2006-7-13 23:28 0
paradise 雪币： 229 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 121 粉丝 0 关注私信	paradise 60 楼 CCDebuger斑主看完了这篇文章,收获不小,有几个问题一直没弄明白,想请你指教一下第一个修复IAT的时候RVA不是2000开始的吗?怎么到最后写的是2068?大小是3C这个3C是怎么来的?获取输入表的时候不是18C吗? 2006-7-16 07:13 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 61 楼这大概是CCDebugger文中没有讲清楚的地方，程序的iat从2000开始，修正输入表时在新建输入表信息中填入的rva不能覆盖这个空间，输入的是iat结束后的rva。不对请指正。 2006-7-16 11:05 0
CCDebuger 雪币： 2506 活跃值： (1000) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1934 粉丝 89 关注私信	CCDebuger 24 62 楼最初由 paradise* 发布* CCDebuger斑主看完了这篇文章,收获不小,有几个问题一直没弄明白,想请你指教一下第一个修复IAT的时候RVA不是2000开始的吗?怎么到最后写的是2068?大小是3C这个3C是怎么来的?获取输入表的时候不是18C吗? 你可以注意看一下 ImportREC 新建输入表的那张图：新建输入表信息 (IID+ASCII+LOADER)，这些东西加起来大小是18C，从 RVA 2000 处开始写。写入后你用16进制工具看一下内容，最先看到的是 IMAGE_THUNK_DATA 数组，然后才是 IID（IMAGE_IMPORT_DESCRIPTOR）数组，再后来是IMAGE_IMPORT_BY_NAME。在LordPE中看到的输入表RVA 2068就是IID（中文应该是镜像导入描述符吧）数组的起始RVA，大小3C是指IID数组的大小。更多的内容你可以参考一下讲述PE结构的文章。 2006-7-16 11:13 0
CCDebuger 雪币： 2506 活跃值： (1000) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1934 粉丝 89 关注私信	CCDebuger 24 63 楼原来 softworm 兄都解释过了，早知道我就不写这么长一段话了 2006-7-16 11:16 0
NIU 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 110 粉丝 0 关注私信	NIU 64 楼最初由 heimei* 发布* 请问？为什么我在选块的时候结尾的地方输入　　1FFF 点确定！就弹吹　＂Ｆ＂是一个无效的字符．请问为什么？这个我也碰到过，是因为鼠标点了一下winHex的地址栏，地址显示格式变成了十进制。重新点一下winHex的地址栏，让它变回十六进制就行了。这也是用winHex偶尔会出差错的地方。 2006-7-16 13:36 0
kanxue 雪币： 44229 活跃值： (19965) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 65 楼最初由 NIU* 发布* 这个我也碰到过，是因为鼠标点了一下winHex的地址栏，地址显示格式变成了十进制。重新点一下winHex的地址栏，让它变回十六进制就行了。这也是用winHex偶尔会出差错的地方。发现选块功能Hex Workshop 功能最好用，winHex也很优秀，如果将这2工具优点结合起来就方便了。 2006-7-17 21:50 0
万能雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	万能 66 楼支持啊~~~！！！！！！！！ 2006-7-18 01:34 0
bfqyygy 雪币： 338 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 523 粉丝 0 关注私信	bfqyygy 1 67 楼感谢!!学习一下!! 2006-7-18 02:10 0
987654321 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 58 粉丝 0 关注私信	987654321 68 楼继续收集谢谢辣 2006-7-18 13:06 0
paradise 雪币： 229 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 121 粉丝 0 关注私信	paradise 69 楼最初由 CCDebuger* 发布* 你可以注意看一下 ImportREC 新建输入表的那张图：新建输入表信息 (IID+ASCII+LOADER)，这些东西加起来大小是18C，从 RVA 2000 处开始写。写入后你用16进制工具看一下内容，最先看到的是 IMAGE_THUNK_DATA 数组，然后才是 IID（IMAGE_IMPORT_DESCRIPTOR）数组，再后来是IMAGE_IMPORT_BY_NAME。在LordPE中看到的输入表RVA 2068就是IID（中文应该是镜像导入描述符吧）数组的起始RVA，大小3C是指IID数组的大小。更多的内容你可以参考一下讲述PE结构的文章。我把输入表的RVA值改为idata段的起始位置00010000程序就能运行,如果按照教程上的填写00010620的话程序反到不能运行了.麻烦帮我看一下是什么原因. 上传的附件： unpack.rar （28.50kb，8次下载） 2006-7-18 16:31 0
kanxue 雪币： 44229 活跃值： (19965) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 70 楼最初由 paradise* 发布* 我把输入表的RVA值改为idata段的起始位置00010000程序就能运行,如果按照教程上的填写00010620的话程序反到不能运行了.麻烦帮我看一下是什么原因. 你重建输入表时，ImportREC里填00010620 2006-7-18 16:38 0
CCDebuger 雪币： 2506 活跃值： (1000) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1934 粉丝 89 关注私信	CCDebuger 24 71 楼最初由 paradise* 发布* 我把输入表的RVA值改为idata段的起始位置00010000程序就能运行,如果按照教程上的填写00010620的话程序反到不能运行了.麻烦帮我看一下是什么原因. 我在 ImportREC 中填入 RVA：00010000 后修正的输入表那个 00010620 是 ImportREC 自己加的，只是表示了 IID 数组的起始 RVA。你的是00010000 是因为你的 IID 数组的起始 RVA 是这里。都是 ImportREC 搞的，我是无辜的 2006-7-18 17:21 0
soro 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 73 粉丝 0 关注私信	soro 72 楼真是图文并茂的好文章,顶一下! 2006-7-18 22:28 0
爱一个人好难雪币： 0 能力值： (RANK：10 ) 在线值：发帖 30 回帖 463 粉丝 0 关注私信	爱一个人好难 73 楼最初由 CCDebuger* 发布* 我用的ImportRE是我自己汉化的那个 1.6 fix 版本，主页工具栏目里有下。看你的图，只是新建输入表中大小不同吗？只要输入表正确，这个关系不大，这里是软件自动填的。谢谢了，工具不错！ 2006-7-19 08:55 0
无聊雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	无聊 74 楼多谢楼主写的如此详细,学习中! 2006-7-22 16:17 0
ramble 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	ramble 75 楼感谢!!学习一下!! 2006-7-23 11:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复