内存跟踪脱壳的原理,自己想的,请高手斧正
esp定律的原理看到的很多,别的脱壳方法的原理就不是很清楚了,看了会教程,想了下内存跟踪的原理,也不知对不,与菜鸟们分享下子,有不对的地方,还请大家指出来。首先要先说下壳的加载过程了,
1.获取壳自己所需要使用的API地址
2.解密原程序的各个区块(Section)的数据//第一次下内存断点
3.重定位 //第二次下内存断点
4.HOOK-API
5.跳转到程序原入口点(OEP) //一般的壳在这里会有明显的一个“分界线”。但现在的猛壳己没这界限了,壳里有肉,肉里有壳。
也许是这个原理太简单了,大家都不提,我就写下子,算是自己的记录吧。与各位菜鸟同志分享,希望我们都能不断进步。
支持飘云阁的发展。
[ 本帖最后由 gtboy 于 2007-12-19 14:09 编辑 ]
页:
[1]