学习：脱壳之Anti Dump

文章继：https://www.cnblogs.com/zpchcbd/p/12111567.html

发现转储之后，然后修复IAT发现依然是打不开的，原因是壳有反脱壳的检测

把修复完IAT的程序继续载入，F8跟随，发现JMP的区段已经不存在了

我们再看下原程序的AC区段，发现是存在的，所以我们需要把这个原程序中的AC区段拷贝一份，在脱壳后的程序中进行填充

然后填充到脱壳后的程序中

因为是直接把原程序的AC片段直接拷贝的，所以还需要修改下虚拟的偏移地址

默认情况下，EXE文件的基址为0x00400000，DLL文件的基址为0x10000000。

虚拟内存地址（VA）：PE文件中的指令被装入内存后的地址，OllyDbg动态反汇编产生。
相对虚拟地址（RVA）：内存地址相对与映射基址的偏移量。
VA = Image Base + RVA。

该程序的EXE文件的基址也是00400000，所以我们需要计算下它的相对虚拟地址，那么就是400000-AC0000，结果就是6C0000

最后还需要重新构建PE头，自己不太懂，以后懂得话再加上！

重新打开，打开成功！

原文地址：https://www.cnblogs.com/zpchcbd/p/12114509.html

时间： 2024-11-10 16:02:31

学习：脱壳之Anti Dump的相关文章

脱壳的艺术

脱壳的艺术 Mark Vincent Yason 概述:脱壳是门艺术——脱壳既是一种心理挑战,同时也是逆向领域最为激动人心的智力游戏之一.为了甄别或解决非常难的反逆向技巧,逆向分析人员有时不得不了解操作系统的一些底层知识,聪明和耐心也是成功脱壳的关键.这个挑战既牵涉到壳的创建者,也牵涉到那些决心躲过这些保护的脱壳者. 本文主要目的是介绍壳常用的反逆向技术,同时也探讨了可以用来躲过或禁用这些保护的技术及公开可用的工具.这些信息将使研究人员特别是恶意代码分析人员在分析加壳的恶意代码时能识别出这些技术

安卓逆向之基于Xposed-ZjDroid脱壳

http://bbs.pediy.com/thread-218798.htm 前言之前介绍了普通常见的反编译模式但对于使用了 360加固棒棒爱加密等等的加固应用就没办法了. 你会发现反编译出来的dex 只有几个类逻辑都是调用so 真正的dex会被加载到内存中隐藏起来加固应用都是多dex这种形式要想拿到他真正的dex 需要进行脱壳处理基本原理都是从内存中dump 我一般会先用工具来尝试不行的话就得上 IDA(反汇编神器)超级强的一个工具杀手级别贯穿移动端 PC端的逆向

脱壳基础知识入门

现在加解密发展己形成2个分支了,一个就是传统的算法,另一个就是加密壳.越来越多的软件采用了密码学相关算法,现在要做出一个软件注册机己不象前几年那么容易,这就要求解密者必须要有一定的数学功底和密码学知识,而这些在短时间内是不容易掌握的.除了密码学的应用,越来越多的软件加壳了,因此要求解密者必须掌握一些脱壳技术,这就使得壳成了解密必须迈过的一个门槛.壳发展到今天,强度越来越高了,将许多人挡在门外,使得大家望壳兴叹.另外,论坛现在两极分化比较严重,高手讨论的脱壳技术新手看不懂,很多人想学脱壳,但

Android通用脱壳工具DexHunter的原理分析和使用说明（二）

本文博客地址:http://blog.csdn.net/qq1084283172/article/details/53715325 前面的博文<Android通用脱壳工具DexHunter的原理分析和使用说明(一)>中已经记录了很多关于DexHunter脱壳工具的脱壳原理和思考的思路问题并没有涉及到DexHunter脱壳工具的代码的分析,今天我就代码分析.理解和DexHunter脱壳工具的使用以及需要注意的地方进行博文的记录. 在阅读DexHunter的代码之前,复习下几个须知: 1>.

ORiEN脱壳分析

作者:Fly2015 ORiEN这种壳之前没有接触,到底是压缩壳还是加密壳也不知道,只能试一试喽.需要脱壳的程序是吾爱破解脱壳练习第7期的题目. 首先对加壳程序进行查壳,这一步也是程序脱壳的必要的一步. 使用DIE工具对加壳程序进行查壳,发现被加壳程序原来是用Delphi语言编写的,这个信息对于找原程序的OEP是很有帮助的. 下面OD载入程序进行分析,被加壳程序入口点汇编代码: 对被加壳的程序进行脱壳的时候,先不慌着脱壳,最好先看下程序的汇编代码,F7/F8单步走几步看看,没准你会有新发现. F

Sqli-labs less 7

Less-7 本关的标题是dump into outfile,意思是本关我们利用文件导入的方式进行注入.而在background-3中我们已经学习了如何利用dump into file. 这里首先还是回到源代码中去.重点放在对id参数的处理和sql语句上,从源代码中可以看到$sql="SELECT * FROM users WHERE id=(('$id')) LIMIT 0,1"; 这里对id参数进行了 '))的处理.所以我们其实可以尝试')) or 1=1--+进行注入 http:

mysql failed to open file

mysql failed to open file mysql failed to open file '/usr/xxx/fff.sql' 一.问题,在Linux下使用source命令导入数据的时候,报 ERROR: Failed to open file '/data/xxx/fff.sql', error: 2 二.解决办法 (首先记得使用了将要导入的数据库,mysql>use test;) 1.查看.sql文件的用户权限,保证mysql对资源文件拥有读写执行权限 2.上述方法并不是我这次

360资源 ---持续更新中

综合资源创建时间: 2015-2-3 17:39 修改时间: 2015-2-16 21:17 来源: http://cnc.qzs.qq.com/qzone/newblog/v5/editor.html#bid=1413979545&opener=refererurl&refererurl=http%3A%2F%2Fb11.cnc.qzone.qq.com%2Fcgi-bin%2Fblognew%2Fblog_output_data%3Fuin%3D1218338644%26blogid

手动脱壳—dump与重建输入表

http://blog.csdn.net/ccnyou/article/details/7930817 很久没玩逆向了,今天权当复习,顺便做个笔记文章中用到的demo下载地址: http://download.csdn.net/detail/ccnyou/4540254 附件中包含demo以及文章word原稿用到工具: Ollydbg LordPE ImportREC 这些工具请自行下载准备 Dump原理这里也不多做描述,想要了解google it!常见的dump软件有LordPE,Proc