首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
关于输入地址表,~
发表于: 2007-3-14 12:52 4415

关于输入地址表,~

fonge 活跃值
5
2007-3-14 12:52
4415
不是知道我是蠢还是笨,这么久一直没理解到壳在解密(压)后的输入地址表是怎么回事!

输入地址表由PE装载器填写,而壳启动时有一次输入地址表填写,
那么后来解密(压)后原文件的输入地址表也要被填写才对,就表示PE装载器又填了一次输入地址表,

我就纳闷了,PE装载器是可以循环查找信息填写输入地址表还是本身加壳体是两个完整的exe(壳主程序)-exe(原程序)连在一起的呢!

盼答~

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (7)
cyclotron
雪    币: 392
活跃值: (909)
能力值: ( LV9,RANK:690 )
在线值:
发帖
回帖
粉丝
私信
2
PE装载器填写的是壳自己的输入表
壳填写的是被加壳文件的输入表
2007-3-14 13:10
0
fonge
雪    币: 263
活跃值: (10)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
私信
3
明白了一半・
另一半就是:
这个时候的壳是模拟了PE装载器把文件的输入地址表填进去的罗?

同样盼答~
2007-3-14 14:55
0
cyclotron
雪    币: 392
活跃值: (909)
能力值: ( LV9,RANK:690 )
在线值:
发帖
回帖
粉丝
私信
4
最初由 fonge 发布
明白了一半・
另一半就是:
这个时候的壳是模拟了PE装载器把文件的输入地址表填进去的罗?

同样盼答~

对压缩壳是如此,保护壳的变化就很多了,无论怎么变形基本的要求是PE文件可以正常执行
2007-3-14 14:58
0
fonge
雪    币: 263
活跃值: (10)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
私信
5
还有四分之一不懂!
即解压出来的结构可以说是一个完整的PE文件了,即运行过程是――PE(壳)-PE(程序)
先运行PE(壳)解出PE(程序),然后运行程序~
是这样吗?

求解~
2007-3-14 17:48
0
cyclotron
雪    币: 392
活跃值: (909)
能力值: ( LV9,RANK:690 )
在线值:
发帖
回帖
粉丝
私信
6
最初由 fonge 发布
还有四分之一不懂!
即解压出来的结构可以说是一个完整的PE文件了,即运行过程是――PE(壳)-PE(程序)
先运行PE(壳)解出PE(程序),然后运行程序~
是这样吗?

........


确切地说不完全如此,剩下的1/8你只有自己找个压缩壳按指令顺序逐句跟踪一遍了
2007-3-14 19:01
0
fonge
雪    币: 263
活跃值: (10)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
私信
7
我死了算了
2007-3-14 22:00
0
fonge
雪    币: 263
活跃值: (10)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
私信
8
谢谢~。。
2007-3-14 22:05
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//