能发波

摘要： 软件解密技术研究----Windows PE 文件脱壳通过设置Hook，动态跟踪堆栈，对加过壳的可执行文件进行解密还原。当然，要解密，至少先要----得到一个被加密过的“正版” 软件。然后----编写简单的Debugger。仅需要拦截LoadLibray/GetModuleHandle/GetProcAddress，在这三个Hook中执行记录Library文件名，Procedure(导入函数)名。自己按ImportTable结构伪造一个ImportTable，并存储额外的相关信息。为每个导入函数生成一个Hook函数体，该函数(我们的Hook) 从堆栈中取得返回地址(即调用该函数的call指令的 阅读全文