所谓脱壳,是否并没有真的把壳代码去除呢??
意思就是虽然脱壳了,但壳代码依然完整地保留在文件中,是不是呢? 加个UPX 用UE前后对比下便知道了 这个问题嘛,这样说吧壳的关键代码一般都不在了,但壳为你添加的区段还在,里面是一些还没释放出的垃圾数据
这是就是大家说的要给脱壳后的程序优化,就是去掉这些区段,达到减肥的目的
但上面的说法不是绝对的,某些壳由于有 VM ,我们很难还原被他处理后的源代码,而且
由于这些 VM_CODE 都是动态解出,所以比较好的方法(省力)就是把这些进程直接 DUMP
出来,然后补在我们脱出的程序中,这样程序运行的时候才能正常调用这些被偷掉的功能
或启动代码,这就是你中有我,我中有你的说法
上面的都不是绝对的,脱壳很多时候有灵活。。。。。。。。。。。。。。。 理解了,不过楼上后面所言好象是区域脱壳的内容了饿
页:
[1]