摘要:
写在前面的话: 上一篇文章中,带领大家一起分析了简单的压缩壳ASPACK,今天,就和大家一起来揭开VMP这道神秘的面纱; 【花指令】:扰乱调试器的,并不执行; 【混淆】:对原指令进行拆解或等价替换,会执行; 零、自己写个程序,加壳 0、为方便我们对VMP壳有更清楚的认识,这里,我们先自己写个程序,然 阅读全文
摘要:
写在前面的话: 前面几篇文章,我们介绍了如何获取kernerl32.dll导出函数地址的方法; 并在此基础上,编写了ShellCode,实现了动态加载DLL以及解析API地址; 但是,似乎还称不上Perfect,我们能够获取到LoadLibrary和GetProcAddress,事情就结束了吗? 我 阅读全文
摘要:
写在前面的话: 继续上篇,在获得了Kernel32.dll基址的基础上,分析它的导出表结构; 对PE结构不太熟悉的同学,可以参考看雪论坛里的一篇帖子:https://bbs.pediy.com/thread-224265.htm 零、思路说明 分析之前,要明确我们的目的是,为了能在程序里获得某些AP 阅读全文
摘要:
一、首先准备好一个程序,运行起来,用windbg进行附加调试,由于每个windows下的程序都会加载kernel32.dll,因此,找基址的过程是一样的; 二、查看PEB地址; 法一、r $peb 法二、通过TEB获取,r $teb 获取到teb地址后,对_TEB结构体解析dt _TEB 3ca00 阅读全文