RE中的perl

思路:

perl是解释型语言,perlapp只是把你的perl程序压缩后放在资源里面,执行的时候解压的。所以只要运行,就能得到解压过的程序。但运行到什么地方才能得到?结合了几篇帖子我发现了一个关键字符串script,在这个字符串出现后往下的汇编代码中有call,此处就是解压过程,我们在call之后下断点,就能在eax中得到解压后的代码。

e.g.

 

 查壳

 

 IDA查看

 

关键字perl

DBG调试,查找关键字script

 

 定位,下断点

 

 运行

posted @ 2023-01-19 16:22  e1ectronic  阅读(32)  评论(0)    收藏  举报