1.垃圾代码
2.扰乱代码对齐
0041510F处JMP EBX跳转到00415117处,但是00415117处的反汇编代码未能正常显示
3.加密 / 解密
40B000~40B00E在进行解码循环,用来对40B010以后的代码进行解码
书中还有含有垃圾代码的实例
特殊情况:
4.Stolen Code(Remove OEP)
该技术将部分源代码(主要是OEP代码)转移到压缩器/保护器创建的内存区域运行,导致在转储进程内存时,一部分OEP代码会被删除,转储文件无法正常运行反转储技术,同时还可以迷惑逆向分析人员。
5.API重定向
API rediction1:
API rediction2:
6.Debug Blocker
(1).防止代码调试,因为子进程运行的实际的原代码已经处在调试中,原则上就无法使用其他调试器进行附加操作了(57章)
(2).能过控制子进程,这使得代码调试变得很困难
浙公网安备 33010602011771号