小技术角度小谈病毒加壳和加花那点破事～

显示全部楼层 · 发表于 2010-8-31 10:09:28

加壳和简单不过脱壳。。。

显示全部楼层 · 发表于 2010-8-31 10:14:12

技术贴，坐下慢慢看

显示全部楼层 · 发表于 2010-8-31 10:26:18

浅显易懂，支持一下

显示全部楼层 · 发表于 2010-8-31 11:15:50

回复 15楼 帅就是帅 的帖子

我的意思是加花加壳已基本上很难再过杀软

显示全部楼层 · 发表于 2010-8-31 11:23:50

最愛這種白居易詩歌式的科普文了，完全沒有閱讀障礙，嘿嘿，謝啦~

显示全部楼层 · 发表于 2010-8-31 11:32:33

好东西

显示全部楼层 · 发表于 2010-8-31 11:43:01

本帖最后由囧神于 2010.8.31 11:46 编辑

囧，楼主技术文写的很好，好久没见技术问了，咱也稍微说点。。。。对手动脱壳上的几点注意：

OEP一般都很好找，不好找的原因一般是被stolen bytes，也就是把入口点的一段代码放到了外壳的地址空间中。这样区分就不会很明显了，要仔细再仔细。一般根据跨段命令来寻找OEP会比较困难，所以建议用OD设断的方式利用堆栈的平衡和内存访问机制来寻找OEP。

dump没什么好说的，但谁都不会让你那么轻松，往往会遇到anti dump,这时就需要去绕过了，强行抓取不仅无果，反而会造成抓取不完整。这也要注意

最后的输入表，一般用REC来辅助重构就可以，可以省去不少麻烦。
（囧，咱小白谈点小经验，高手请留情~）

显示全部楼层 · 发表于 2010-8-31 11:45:46

现在部分杀软见到某些壳就直接报毒，真囧啊

显示全部楼层 · 发表于 2010-8-31 11:46:27

回复 27楼囧神的帖子

全民VMP时代，stolen code已经out了

显示全部楼层 · 发表于 2010-8-31 11:48:30

本帖最后由囧神于 2010.8.31 11:52 编辑

回复

全民VMP时代，stolen code已经out了
smilediy 发表于 2010.8.31 11:46

囧，一开始就让新人玩VMP，后面还有的玩么。。。。入口点还没熟悉呢，你就让人家在入口点附近看程序在几个跨段中玩翻跟头还有意思么，真是恶趣味。

[技术原创] 小技术角度小谈病毒加壳和加花那点破事～

评分