mwdir1025 发表于 2006-10-10 21:15:45

初学脱壳必须看!

初学脱壳必须看!!!!!!!!!!!!
壳的标记:

只要是壳,都会有自己的缺点,但是大多数的客都有一样的缺点,那就是突然的跳转
著名的格式有如下:
PUSHFD :PUSH EFLAGS(比应用程序先得到权限)(标志寄存器)
PUSHAD :PUSHAD=eax,ecx,edx,ebx,esp,ebp,esi,edi
……   :外壳代码部分
POPAD:POPAD=eax,ecx,edx,ebx,esp,ebp,esi,edi
POPFD:恢复应用程序的权限
JMP OEP :跳到程序的真正入口处,JMP后面跟着的地址就是真的OEP
OEP:……

++++++++++++++++++++++++++++++++++++++++++

starcool 发表于 2006-12-2 13:23:06

偶看不懂也~

xiaozi41195 发表于 2007-1-4 13:41:35

支持下呵呵不过没看懂

诺言随风 发表于 2007-1-4 19:34:43

看不懂啊。。。。。

binbinbin 发表于 2007-1-4 19:48:01

不好玩的脱壳

月之精灵 发表于 2007-1-5 13:20:38

学习了,同时感谢您的教导。

小儿垂钓 发表于 2007-1-5 14:50:27

有道理~~~~
他们是不是先将初始数据入栈保存~~然后是壳~~~~最后在jmp oep呀~~~

百里冰 发表于 2007-1-13 21:46:27

看不懂,还在学习!!

goldharp 发表于 2007-1-13 22:43:46

先学好汇编就看懂了

maoli0366 发表于 2007-1-14 12:07:48

学习了,啊
页: [1] 2 3 4
查看完整版本: 初学脱壳必须看!