[分享]避免壳申请的区段低于镜像基址的一个方法-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 2 楼 ...不过换做我我会直接上一个VirtualAlloc的钩子把它分配到0x30000000以上去方便补区段 Or 其他. 2007-8-1 13:21 0
wangshq397 雪币： 277 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 59 回帖 650 粉丝 0 关注私信	wangshq397 8 3 楼楼上说的有道理。学习一下 2007-8-1 15:08 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 4 楼 1楼的比2楼的好，把东西搞大了不好收拾。。。 2007-8-1 19:36 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 5 楼先把文件搞大一点，下断点VirtualAlloc，把返回值改到文件后面的空白处，一般的程序都有效果，免得补区段了 2007-8-1 19:44 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 6 楼不错的方法可以写到脚本里面 gmi eip,MODULEBASE mov modbase,$RESULT sub modbase,10000 allocloop: alloc 1000 mov mem, $RESULT cmp mem,modbase jne allocloop 2007-8-2 10:55 0
yzjsdn 雪币： 170 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 126 粉丝 0 关注私信	yzjsdn 7 楼脚本实现真方便不用改就可以了 2007-8-2 13:13 0
wangshq397 雪币： 277 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 59 回帖 650 粉丝 0 关注私信	wangshq397 8 8 楼正想找你，你自己先来了 2007-8-2 14:11 0
liuyilin 雪币： 303 活跃值： (466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 9 楼按照这样怎么把高于基址的内存都申请了?不是应该先申请低于基址的内存吗? 是不是有问题!! 2007-8-29 08:49 0
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 22 关注私信	Lenus 3 10 楼感觉lz好浪费啊....一点都不节能环保... ls的,就是把全部低地址都申请掉了接下来才会申请高的啊... 2007-8-29 10:05 0
恋辞雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 59 粉丝 0 关注私信	恋辞 11 楼 gmi eip,MODULEBASE mov modbase,$RESULT sub modbase,10000 allocloop: alloc 1000 mov mem, $RESULT cmp mem,modbase jne allocloop ret 2007-8-29 10:14 0
周二两雪币： 210 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 171 粉丝 1 关注私信	周二两 12 楼请问谁能帮指点一下修改加壳的SizeOfStackReserve值为380000后, 用OD调试中出现“文件损坏！请进行病毒检测，并重新安装程序。” 有什么好解决方法吗？ 2007-8-29 12:14 0
bwin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 183 粉丝 0 关注私信	bwin 13 楼严重学习一下这个方法不过大侠们讲的都很 "简洁" 2007-8-31 18:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 2 楼 ...不过换做我我会直接上一个VirtualAlloc的钩子把它分配到0x30000000以上去方便补区段 Or 其他. 2007-8-1 13:21 0
wangshq397 雪币： 277 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 59 回帖 650 粉丝 0 关注私信	wangshq397 8 3 楼楼上说的有道理。学习一下 2007-8-1 15:08 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 4 楼 1楼的比2楼的好，把东西搞大了不好收拾。。。 2007-8-1 19:36 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 5 楼先把文件搞大一点，下断点VirtualAlloc，把返回值改到文件后面的空白处，一般的程序都有效果，免得补区段了 2007-8-1 19:44 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 6 楼不错的方法可以写到脚本里面 gmi eip,MODULEBASE mov modbase,$RESULT sub modbase,10000 allocloop: alloc 1000 mov mem, $RESULT cmp mem,modbase jne allocloop 2007-8-2 10:55 0
yzjsdn 雪币： 170 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 126 粉丝 0 关注私信	yzjsdn 7 楼脚本实现真方便不用改就可以了 2007-8-2 13:13 0
wangshq397 雪币： 277 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 59 回帖 650 粉丝 0 关注私信	wangshq397 8 8 楼正想找你，你自己先来了 2007-8-2 14:11 0
liuyilin 雪币： 303 活跃值： (466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 9 楼按照这样怎么把高于基址的内存都申请了?不是应该先申请低于基址的内存吗? 是不是有问题!! 2007-8-29 08:49 0
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 22 关注私信	Lenus 3 10 楼感觉lz好浪费啊....一点都不节能环保... ls的,就是把全部低地址都申请掉了接下来才会申请高的啊... 2007-8-29 10:05 0
恋辞雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 59 粉丝 0 关注私信	恋辞 11 楼 gmi eip,MODULEBASE mov modbase,$RESULT sub modbase,10000 allocloop: alloc 1000 mov mem, $RESULT cmp mem,modbase jne allocloop ret 2007-8-29 10:14 0
周二两雪币： 210 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 171 粉丝 1 关注私信	周二两 12 楼请问谁能帮指点一下修改加壳的SizeOfStackReserve值为380000后, 用OD调试中出现“文件损坏！请进行病毒检测，并重新安装程序。” 有什么好解决方法吗？ 2007-8-29 12:14 0
bwin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 183 粉丝 0 关注私信	bwin 13 楼严重学习一下这个方法不过大侠们讲的都很 "简洁" 2007-8-31 18:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复