外壳shell的分析壳版本: PECompact2.79_Beta_D 工具: IDA, OD, winhex, PEID1. 外壳第一部分 该外壳的shell分部分, 第一部分以非压缩的方式存在, 第二部分以压缩的方式存在.外壳执行时先执行第一部分, 这部分将shell的第二部分在内存中解压缩, 并初始化一些数据. 用IDA打开加壳后的程序(TestDll.dll), 来到外壳的入口处, 分析如下:10001230 mov eax, offset ExceptionProc ; 异常处理回调函数10001235 push eax10001236 push large dword ptr fs:01000123D mov large fs:0, esp ; 注册异常10001244 xor eax, eax ; eax = 0; mov [0], ecx, 程序执行到此处时产生内存访问异常, ; 转到异常处理ExceptionProc; 异常处理里改下此地址为E9 与 此地址与0x1003892F相对偏移, ; 即jmp 1003892F; 异常返回后,则jmp 1003892F10001246 mov [eax], ecx 10001248 push eax……更多内容参见附件
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法