-
-
[原创]易语言5.8程序分析笔记01
-
发表于:
2024-11-14 01:29
3727
-
本帖详细分析了易语言oep到main函数之间具体干了哪些事,想搞破解的朋友可以详细了解一下,可以从这些函数中提取特征码,从而快速定位到oep,甚至可以写出脚本自动识别。
开头有易语言的特征push ffffffff,这经常用来识别是否是易语言程序
调用GetVersion()
如果加壳后想找到OEP,通常给GetVersion()下断点。
看看里面干了什么事
创建堆空间,
应该是根据操作系统位数和获取环境信息做出不同的跳转
再调用底层VirtualAlloc函数和内核函数RtAllocateHeap分配空间,如果分配失败,就调用HeapDestory销毁。
失败返回0,成功返回1
如果函数2成功,会跳过函数3,函数3是清理退出函数。
线程局部存储分配空间相关,这里可以藏代码
分配失败,调用清理函数
这两个函数分别获得命令行和环境并保存到全局变量中
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2024-11-14 02:30
被科学电击使编辑
,原因: