摘要：有些函数混淆后，F8步过call就会跑飞，因为执行流程没有返回到下一条指令，此时可以F7步入。如果大量重复的操作，可以用插件来完成。 x64dbg安装x64dbgpy插件后，在C:\Users\Hang\Downloads\x64dbgpy-37d3f5bb\x32\plugins\x64dbgpy 阅读全文

摘要：写压缩壳的思路： 提取正常PE的数据，和我们的壳代码合起来得到一个新的PE，就得到了压缩后的PE。 我们需要写两个工程： 1. 加壳器：给指定的程序加壳 2. 壳代码：新PE里的壳代码，进行解压缩，填导入表等操作 为了书写方便，把壳代码和压缩后的代码放在不同的节中。一般把每个节单独压缩，解压缩时也单 阅读全文

摘要：壳的分类： 1. 压缩壳：减小PE体积 2. 加密壳：对抗逆向分析 压缩壳加上对抗手段，如反调试、代码膨胀、代码混淆、IAT混淆等，就成了加密壳。 壳需要有一段代码，把原PE代码解压出来，但是解压过程中有可能覆盖了解压代码，解决方法： 使用无文件映射的节，类似于汇编中的.data?段。壳把解压后的数 阅读全文